NORMAS SOBRE DESEMPEÑO (2000)

2000 Administración de la actividad de auditoría interna

o 2010 Planificación
o 2020 Comunicación y aprobación
o 2030 Administración de los recursos
o 2040 Políticas y procedimientos
o 2050 Coordinación y confianza
o 2060 Informe a la alta dirección y al Consejo
o 2070 Proveedor de servicios externos y responsabilidad de la organización sobre auditoría interna

2100 Naturaleza del trabajo

o 2110 Gobierno
o 2120 La actividad de auditoría interna debe evaluar la eficacia y contribuir a la mejora de los procesos de
gestión de riesgos
o 2130 Control
2100 Naturaleza del Trabajo de Auditoria Interna
 2120 Gobierno
La actividad de auditoría interna debe evaluar y hacer las recomendaciones
apropiadas para mejorar los procesos de gobierno de la organización para:

 Tomar decisiones estratégicas y operativas;

 Supervisar el control y la gestión de riesgos;
 Promover la ética y los valores apropiados dentro de la organización
 Asegurar la gestión y responsabilidad eficaces en el desempeño de la
organización
 Comunicar la información de riesgo y control a las áreas adecuadas de la
organización;
 Coordinar las actividades y la información de comunicación entre el Consejo
de Administración, los auditores internos y externos, otros proveedores de
aseguramiento y la dirección.
 2120 Gestión de Riesgos
La actividad de auditoría interna debe evaluar la eficacia y contribuir a la mejora de los procesos
de gestión de riesgos.
Interpretación:
Determinar si los procesos de gestión de riesgos son eficaces es un juicio que resulta de la
evaluación que efectúa el auditor interno de que:
 Los objetivos de la organización apoyan a la misión de la organización y están alineados con la
misma,
 Los riesgos significativos están identificados y evaluados,
 Se han seleccionado respuestas apropiadas al riesgo que alinean los riesgos con la aceptación de
riesgos por parte de la organización, y
 Se capta información sobre riesgos relevantes, permitiendo al personal, la dirección y el Consejo
cumplir con sus responsabilidades, y se comunica dicha información oportunamente a través de la
organización.
La actividad de auditoría interna reúne la información necesaria para soportar esta evaluación
mediante múltiples trabajos de auditoría. El resultado de estos trabajos, observado de forma conjunta,
proporciona un entendimiento de los procesos de gestión de riesgos de la organización y su eficacia.
Los procesos de gestión de riesgos son vigilados mediante actividades de administración continuas,
evaluaciones por separado, o ambas
 2120 Gestión de Riesgos
2120.A1 – La actividad de auditoría interna debe evaluar las exposiciones al riesgo referidas a gobierno,
operaciones y sistemas de información de la organización, con relación a lo siguiente:
 Logro de los objetivos estratégicos de la organización,
 Fiabilidad de integridad de la información financiera y operativa,
 Eficacia y eficiencia de las operaciones y programas,
 Protección de activos, y
 Cumplimiento de leyes, regulaciones, políticas, procedimientos y contratos.

2120.A2 – La actividad de auditoría interna debe evaluar la posibilidad de ocurrencia de fraude y cómo la
organización maneja gestiona el riesgo de fraude.

2120.C1 – Durante los trabajos de consultoría, los auditores internos deben considerar el riesgo compatible
con los objetivos del trabajo y estar alertas a la existencia de otros riesgos significativos.

2120.C2 – Los auditores internos deben incorporar los conocimientos del riesgo obtenidos de los trabajos
de consultoría en su evaluación de los procesos de gestión de riesgos de la organización.

2120.C3 – Cuando ayudan a la dirección a establecer o mejorar los procesos de gestión de riesgos, los
auditores internos deben abstenerse de asumir cualquier responsabilidad propia de la dirección, como es la
gestión de riesgos.
 2130 Control
La actividad de auditoría interna debe asistir a la organización en el mantenimiento de controles
efectivos, mediante la evaluación de la eficacia y eficiencia de los mismos y promoviendo la
mejora continua.

2130.A1 – La actividad de auditoría interna debe evaluar la adecuación y eficacia de los

controles en respuesta a los riesgos del gobierno, operaciones y sistemas de información de la
organización, respecto de lo siguiente:
 Logro de los objetivos estratégicos de la organización,
 Fiabilidad e integridad de la información financiera y operativa,
 Eficacia y eficiencia de las operaciones y programas,
 Protección de activos, y
 Cumplimiento de leyes, regulaciones, políticas, procedimientos y contratos.

2130.C1 – Los auditores internos deben incorporar los conocimientos de los controles que han
obtenido de los trabajos de consultoría en su evaluación de los procesos de control de la
organización.
Proceso de Administración de Riesgos

¿Qué es la administración de riesgos?

Proceso sistemático que deben realizar las instituciones para

evaluar y dar seguimiento al comportamiento de los riegos a que
están expuestas en el desarrollo de sus actividades, mediante el
análisis de los distintos factores que pueden provocarlos, con la
finalidad de definir las estrategias y acciones que permitan
controlarlos y asegurar el logro de los objetivos y metas de una
manera razonable

7
 ENTENDIENDO LA GESTIÓN DE
RIESGOS
ISO 31000 - 2009
Establecimiento del Contexto
¿Riesgos a Que?
COSO ERM Roles y responsabilidades en la

Evaluaciones continuas (Autocontrol, Autorregulación, Autogestión)

gestión de riesgos.

Mapas de riesgos por macro-actividades y procesos.

Valoración del Riesgo

Evaluaciones independientes (Auditoria Interna)

Riesgos y controles comunicados y actualizados.
Identificación del Riesgo.
1 ¿Qué puede suceder que afecte el

4.2 Comunicación y Consulta

objetivo del proceso?
2

4.3 Monitoreo y Revisión

¿Por qué puede suceder?

3
4 Análisis del Riesgo.
Establecer la probabilidad y el
5 impacto de la materialización
del riesgo a los objetivos.
6
7 Evaluación del Riesgo.
Establecer prioridades de
8 tratamiento (evitar, aceptar,
compartir, reducir).
Mapa de Riesgo Inherente

Tratamiento del Riesgo.

Políticas y Procedimientos
Diseño y Ejecución de Controles
Mapa de Riesgo Residual
Etapas de la Metodología para elaborar la Matriz de Administración de Riesgos

II.
Contexto VII.
Definición de
estrategias y acciones
I. Comunicación y III. de control para
consulta Evaluación de responder a los riesgos
riesgos

VI.
IV. Mapa de riesgos
Evaluación de
controles V.
Evaluación de
riesgos respecto
a controles
 ENTENDIENDO LA GESTIÓN DE
RIESGOS
Misión - Visión
Objetivos Estratégicos

Objetivos Relacionados

Operacionales Reporte Cumplimiento

s (informes)
Identificación de Riesgos
y Consulta

Análisis del Riesgo

Monitoreo y
Comunicación

Revisión
Evaluación del Riesgo

Tratamiento del Riesgo

 APF
Etapa I Comunicación y
Consulta
a) Constituir un grupo de
trabajo de las áreas • Objetivos y metas
institucionales
b) Identificar y definir • Procesos prioritarios
• Actores involucrados
Se realizará a) Definir bases y criterios • Diagrama causa-efecto
para identificar causas y (Ishikawa)
efectos de los riesgos, • Lluvia de ideas
a
y cciones de control • 5 Por Qué

b) Identificar procesos
susceptibles de
corrupción
5
Etapa II APF
• Social • Tecnológico
Contexto a) Describir el entorno
• Político • Económico
• Legal • Ambiental
externo internacional,
• Financiero • De competitividad
nacional y regional

• Estructura • Programas
• Atribuciones presupuestarios
Se realizará b) Describir situaciones • Procesos • Evaluación del
intrínsecas a la institución • Objetivos y desempeño
estrategias • Capacidad
c) Eventos adversos que • Recursos Tecnológica
afectan el cumplimiento de los
objetivos institucionales

d) Comportamiento histórico
de riesgos anteriores 6
 Establecimiento del Contexto
Para poder relacionar los objetivos e identificar los incidentes o acontecimientos de fuentes internas o
externas que afectan el logro de las metas y objetivos, es importante tener como punto de partida la
identificación de los procesos implementados por la entidad para el logro de los objetivos: Estos procesos
deben integrarse en tres niveles. (Estratégicos, Misionales y de Apoyo).

Procesos de innovación o estratégicos:

Son aquellos que buscan establecer la visión y orientación para
el desarrollo de los demás procesos. Generan
permanentemente innovación y criterios para el alcance de los
logros y propósitos.
Cadena de Valor
Procesos de valor, primarios o misionales:

Es un modelo que describe como se desarrollan las Son los procesos esenciales de la entidad, destinados a llevar a
actividades de una empresa siguiendo el concepto de cabo las actividades que permitan ejecutar efectivamente las
cadena, esta compuesta por distintos eslabones que políticas y estrategias relacionadas con la calidad de los
forman un proceso económico, en cada eslabón se productos o servicios que ofrecen a sus clientes.
agrega valor que es en términos competitivos la
cantidad que los consumidores están dispuestos a Procesos de apoyo o soporte:
pagar por un producto o servicio. Son aquellos que soportan y apoyan a los procesos estratégicos
y productivos, se encargan de proporcionar personal
competente, mantener las condiciones de operatividad y
funcionamiento, coordinar y controlar la eficacia del
desempeño administrativo y la optimización de los recursos.
Establecimiento del Contexto
Mega o Macroproceso: Agrupamiento lógico al más alto nivel de los procesos que dan
una visión global del funcionamiento de la organización.

Proceso: Agrupamiento lógico de subprocesos o actividades que resultan en un flujo de

trabajo con múltiples entradas y salidas que frecuentemente involucran a varias personas y
áreas.

Subproceso: Subdivisión de los procesos que representa una

colección de actividades.

Actividades: Un paso o acción que se realiza en un período de

tiempo definido.

Tareas: Es el conjunto de pasos o procedimientos que

conducen a un resultado final visible y mesurable.
Establecimiento del Contexto
 Establecimiento del Contexto

Caracterización del Proceso:

Es el conjunto de variables que ayudan a un mayor entendimiento del proceso:

► Objetivo del proceso: Es el resultado que una organización espera alcanzar en el desarrollo y operacionalización concreta de
su misión y visión. El objetivo debe ser mensurable para poder efectuar su seguimiento a través del tiempo.

► Alcance del proceso: Es la frontera del proceso: dónde comienza y dónde termina. El alcance permite establecer los
procesos como interactúan entre sí, en este caso también se contempla las entradas y salidas.
 Comienzo o inicio: actividades con la cuales se da inicio al proceso
 Fin / Final / Terminación : actividades con las cuales finaliza el proceso
 Entradas del Proceso: Son los insumos que ingresan al proceso para poder desarrollar una y/o varias actividades
específicas.
 Salidas del proceso: Son los resultados del desarrollo de las actividades del proceso, que en algunas oportunidades
son las entradas de otros procesos. Las salidas no necesariamente se dan al finalizar el proceso.

• Flujo de Actividades: Es agrupación de actividades, ordenadas de acuerdo con una secuencia lógica establecida.
 Establecimiento del Contexto
1 Específicos.
y
Para evitar interpretaciones, van y
asociado directamente a los resultados
beneficios cuantificables .

2 Medibles.
Deben establecerse indicadores en un
horizonte de tiempo para poder
determinar con precisión y objetividad su
cumplimiento .

3 Alcanzables
Deben ser realistas y factibles de lograrlo,
con los recursos que se tienen.
4 Relevantes
Deben estar asociados a los
objetivos estratégicos y coherentes 5 Delimitados en el tiempo
Ejemplo:
entre si. Incluyen fechas especificas del
Realizar los pagos de impuesto de
objetivo o su terminación
implícita en el año fiscal.
manera oportuna, correcta y según
los requerimientos normativos
establecidos por la normatividad .
 Establecimiento del Contexto

¿Definiendo Objetivos?

Operacionales
 Consecución de la misión y visión

 Mejora del desempeño financiero.

 Productividad, Calidad, Practicas Medioambientales.

 Protección de Activos.
 Establecimiento del Contexto

¿Definiendo Objetivos?

Reporte (Informes)
 Preparación de información
útil y confiable para uso de la
organización y las partes
interesadas .
 Establecimiento del Contexto

¿Definiendo Objetivos?

Cumplimiento
 Leyes y regulaciones aplicables.

 Normas mínimas de conducta esperada.

Los objetivos a nivel de la organización, deben alinearse con las

leyes, reglas, regulaciones y normas impuestas por los
legisladores
y organismos reguladores.
 Etapa III.- Evaluación de Riesgos
Estima la magnitud de los riesgos internos y externos que pueden evitar el logro de los objetivos de la
organización.

F.
Identificación de
los posibles
A. efectos de los
Identificación, E. riesgos. G.
selección y Tipo de factor de Valoración del grado de
impacto antes de la
descripción de riesgo. evaluación de controles
riesgos

B. D. H.
Valoración del grado de
Nivel de Identificación de impacto antes de la
decisión del factores de evaluación de controles.
(Valoración inicial)
riesgo. C. riesgo.
Clasificación
de los riesgos.
 APF
Etapa III Evaluación de Riesgos
a) Identificación, selección y descripción de riesgos
▪ Con base en las metas y objetivos institucionales y procesos sustantivos
▪ Constituir inventario de riesgos institucional
▪ Técnicas: Talleres de autoevaluación, mapeo de procesos

Estructura general de la descripción del riesgo

Adjetivo,
Verbo en adverbio o
Sustantivo
participio
complemento Riesgo
negativo
circunstancial

7
 Identificación del Riesgo
Análisis de Flujo de Proceso
 Identificación del Riesgo
Análisis de Flujo de Proceso
• Actividad: Especificación de una secuencia parametrizada
la notación es un rectángulo con las esquina redondeadas

• Flujo de control: Muestra el flujo de control de una actividad ha

otra. La notación es una flecha continua

• Nodo inicial: Inicio del flujo del proceso.

• Nodo Final: Finalización del flujo del proceso

• Riesgo y Controles:

Ta l o n a r i o y

• Documentos asociados: documento de

identidad A
 Identificación del Riesgo
Análisis de Flujo
 Identificación del Riesgo

A su vez la cadena de valor apoya el nivel de documentación requerida en

los Mapas de Riesgo.

Macro-procesos

Procesos Mapas

Procedimient
o
Etapa III Evaluación dAe
PRFiesgos
Ejemplos de Riesgos:

Adjetivo,
Verbo en adverbio o
Sustantivo complemento Riesgo
participio circunstancial
negativo

Licencias otorgadas irregularmente

Adquisiciones contratadas sin las mejores condiciones

Carreteras construidas con mala calidad

Personas no elegibles beneficiadas con el programa…

2
7
Etapa III Evaluación dAe
PRFiesgos
Ejemplos incorrectos:

Adjetivo,
adverbio o
Sustantivo Verbo en complemento
participio circunstancial Riesgo
negativo

Impunidad de servidores públicos

NO ES RIESGO, sino el resultado de una inacción
No cumplir con objetivos de programas
NO ES RIESGO, sino una consecuencia del riesgo
Inadecuada aplicación de la normativa por desconocimiento
NO ES RIESGO, sino un factor de riesgo
2
8
 Identificación del Riesgo
Identificación de
Riesgos
RIESG CAUSA /
O FALLA
Factores internos
y
externos que ayudan a
Asociado al cumplimiento la materialización del
de los objetivos. riesgo
 Identificación del Riesgo
Identificación de
Riesgos
IMPACTO
RIESGO
Efecto del riesgo sobre
la organización
(ingresos, reputación,
Asociado al cumplimiento satisfacció de clientes
de los objetivos. n emisión de la
información)
.
Critico
- Interrupción de las operaciones por más de 4 horas.
- Intervención por parte de la Superintendencia de Bancos por
Incumplimientos legales y/o contractuales.
- Impacto que afecte la imagen negativamente en el mercado
relacionada con prácticas inseguras y/o irregulares.
- Pérdida de información crítica de la Compañía y/o de terceros
que no se pueda recuperar.
 Identificación del Riesgo
Qué se debe tener en cuenta al redactar un Riesgo?

El riesgo debe estar escrito en un lenguaje común y comprensible para toda la Entidad.

Responde fácilmente a la pregunta si ocurre el riesgo ¿Qué pérdida es generada? Es decir,

permite identificar la pérdida potencial: fraude, multa, demanda, reproceso, robo, sanción,
etc.

Permite establecer la probabilidad e impacto, obteniendo así la calificación del mismo.

Evitar las negaciones para expresar el Riesgo.

El riesgo se debe pensar inicialmente sin considerar la existencia de controles.

Ejemplo: No afiliar oportunamente

Inoportunidad en la afiliación.
Etapa III Evaluación de Riesgos

b) Nivel de decisión del riesgo

▪Identificar el nivel de exposición del riesgo:

 Estratégico: Afecta negativamente el cumplimiento de la misión, visión,
objetivos y metas institucionales
 Directivo: Impacta negativamente en la operación de los procesos,
programas y proyectos
 Operativo: Repercute en la eficacia de acciones y tareas realizadas por
los responsables de su ejecución
Etapa III Evaluación de Riesgos

c) Clasificación de los riesgos

Tipos:
 Sustantivo  De obra pública
 Administrativo  De recursos humanos
 Legal  De imagen
 Financiero  De TIC´s
 Presupuestal  De salud
 De servicios  De corrupción
 De seguridad  Otros
c. Clasificación de los riesgos.

Tipos de riesgo

sustantivo, de apoyo
legal
Se deberán considerar los tipos de corrupción que pueden incurrir
;financiero
en la organización, así como la probabilidad
presupuestal de ocurrencia de
de servicios
actos corruptos, fraudes, abuso, desperdicio y otras
irregularidades que atentan contra ladeapropiada
seguridad
salvaguarda de los
de obrapúblicos
bienes y recursos pública al identificar, analizar y responder a los
de recursos humanos
riesgos. de imagen
de TIC´s
de salud
medio ambiente
desastres naturales
de corrupción
Entre otros
 Tipos de corrupción mas comunes

1.
5.
Informes 3.
Financieros 2. 4. Pretensión del servidor
Conflicto de público de obtener beneficios
Fraudulentos.
Apropiación interés. Utilización de los adicionales a las
indebida de activos. recursos asignados y contraprestaciones
las facultades comprobables que la
atribuidas para fines institución le otorga por el
distintos a los legales. desempeño de su función.
 Tipos de corrupción mas comunes

6.

7.
Participación indebida del servidor público en la
selección, nombramiento, designación, Aprovechamiento del cargo o comisión del
contratación, promoción, suspensión, remoción, servidor público para inducir a que otro servidor
cese, rescisión del contrato o sanción de público o tercero efectúe, retrase u omita
cualquier servidor público, cuando tenga interés realizar algún acto de su competencia, que le
personal, familiar o de negocios en el caso, o reporte cualquier beneficio, provecho o ventaja
pueda derivar alguna ventaja o beneficio para él indebida para sí o para un tercero.
o para un tercero.
 Tipos de corrupción mas comunes

12.

10. Peculado.
8. 9. 11.
Tráfico de
Coalición con otros Intimidación del influencias. Enriquecimiento
servidores públicos servidor público o oculto u ocultamiento
o terceros para extorsión para presionar de conflicto de
obtener ventajas o a otro a realizar interés.
ganancias ilícitas. actividades ilegales o
ilícitas.
Etapa III Evaluación de Riesgos
d) Identificación de factores de riesgo
Describir las causas o situaciones que pueden contribuir a la materialización
del riesgo, considerando la clasificación:
Humano, financiero presupuestal, técnico-administrativo, TIC´s, material, normativo,
entorno

e) Tipo de factor de riesgo

▪Interno: causas originadas en el ámbito de la Institución
Falta de supervisión, procedimientos desactualizados, equipo obsoleto
▪Externo: causas fuera del ámbito de la Institución
Cambios económicos, entorno político, social, legal, tecnológico
Identificación del Riesgo
 Identificación del Riesgo
A) Factores Externos Causantes de Riesgos (AMENAZAS)
1. Económicos y Financieros

• Disponibilidad de capital o fondos

• Liquidez
• Emisión de deuda o no pago de la misma
• Falta de fuentes de financiamiento
• Mercados financieros
• Tasas de cambio
• Tasas de interés
• Morosidad
• Inflación
• Crisis y ajustes fiscales
• Desempleo
• Programa de ajustes económicos
• Competencia privada (en caso de existir)
• Acciones de proveedores, tal como crisis de suministros
 Identificación del Riesgo
A) Factores Externos Causantes de Riesgos (AMENAZAS)
2. Políticos y Legales

•Modificaciones a disposiciones legales y normativas o circunstancias

presupuestales que afecten el erario o finanzas públicas
•Cambio en la naturaleza jurídica de la entidad
•Aprobación del POA con ajustes o modificaciones respecto del elaborado por
la entidad, en temas de objetivos, metas y/o recursos asignados.
•Normas fiscales, políticas públicas, regulación.
•Leyes ambientales.
•Juicios , sanciones, etc.
•Cambio de gobierno.
•Cambio de autoridades.
•Inestabilidad en los niveles de dirección y en los servidores públicos
 Identificación del Riesgo
A) Factores Externos Causantes de Riesgos (AMENAZAS)
3. Sociales

•Cambio en las necesidades y expectativas del ciudadano/usuario

•Demografía

•Responsabilidad social

•Terrorismo

•Decisiones de estilo de vida

•Comportamientos sociales

•Cambio de necesidades o reclamos de ciudadanos/Clientes/Usuarios/Proveedores/ONGs/etc.

•Movimientos o reclamos sindicales.

 Identificación del Riesgo
A) Factores Externos Causantes de Riesgos (AMENAZAS)
4. Tecnológicos
•Proceso continuado de modernización de la gestión pública

•Interrupciones

•Comercio electrónico

•Datos externos

•Nuevas tecnologías

•Utilización de nuevas tecnologías en la implantación de sistemas administrativos o en los procesos productivos de

bienes y servicios.

•Sistemas de seguridad de acceso a la información.

•Cambios tecnológicos que puedan provocar obsolescencia organizacional.

•Tecnologías disponibles. (TELECOMUNICACIONES-INTERNET)

 Identificación del Riesgo
A) Factores Externos Causantes de Riesgos (AMENAZAS)
5. Medioambientales

•Catástrofes naturales ( desastres, terremotos, incendios, huracanes, etc.)

•Emisiones

•Energía

•Desarrollo sostenible

•Productos de desechos-residuos generados.

 Identificación del Riesgo
A) Factores Externos Causantes de Riesgos (AMENAZAS)
6. Operacionales

•Fraude externo, referido a la realización de actividades

no autorizadas, hurtos y otro tipo de fraude.

•Daños a activos físicos, por acontecimientos de seguridad

pública o daños maliciosos.
 Identificación del Riesgo
A) Factores Internos Causantes de Riesgos (DEBILIDADES)
1. Reputación
• Imagen y reputación institucional
• Transparencia
• Rendición permanente de cuentas

2. Infraestructura
• Disponibilidad de activos
• Capacidad de los activos
• Daño malicioso a bienes
• Magnitud de los recursos financieros-presupuestarios
asignados
• Grado de liquidez o convertibilidad de los activos
 Identificación del Riesgo
A) Factores Internos Causantes de Riesgos (DEBILIDADES)
3. Recursos Humanos
• Clima ético inadecuado.
• Faltas de sistemas de motivación. Presión por el cumplimiento de objetivos.
• Estructura organizacional adoptada (centralizada, Descentralizada, etc.)
• Métodos para capacitación, actualización y motivación del personal.
• Reorganizaciones y /o reestructuraciones.
• Reducciones de Personal.
• Alta rotación del personal.
• Características del personal (Mandos Superiores y resto del personal): cantidad, calidad, perfiles,
competencia profesional, adecuación, compromiso e integridad.
• Tasa de retención de empleados.
• Prácticas de empleados.
• Temas sindicales.
• Seguridad e higiene en el trabajo.
• Temas de diversidad y discriminación.
• Políticas de incremento salarias vinculadas a resultados.
 Identificación del Riesgo
A) Factores Internos Causantes de Riesgos (DEBILIDADES)
4. Tecnologías y procesos

• Complejidad de los sistemas.

• Falta o escasez de medios de tecnología informática y comunicación.
• Falta de actualización de los sistemas de información tecnológica.
• Falta de sistemas adecuados de protección física y lógica de datos (seguridad
y acceso a la información).
• Disponibilidad e integridad de sistemas y datos
• Desarrollo, producción y mantenimiento
• Confiabilidad en la tecnología de información.
• Grado de sistematización de las operaciones del proceso
• Sistemas implantados o abandonados. Incidencia o alteraciones en los sistemas de información.

• Operaciones: Ejecutadas-Aprobados-Controladas-Registradas en sistemas informáticos

ORDENADORES-REDES-PROGRAMAS-APLICACIONES-REDES SOCIALES - DATOS
 Identificación del Riesgo
A) Factores Internos Causantes de Riesgos (DEBILIDADES)
4. Tecnologías y procesos

• Crecimientos acelerado o expansión de la prestación de bienes o servicios.

• Complejidad del proceso, área, programa o proyecto e cambios realizados en los mismos.
• Inversiones en nuevas líneas de productos o servicios.
• Volatilidad.
• Cambios en las operaciones.
• Dispersión geográfica
• Fraude interno, referido a la seguridad de los sistemas, hurto y otro tipo de fraudes.
• Prácticas de negocios inadecuados
• Divulgación de información confidencial o crítica
• Servicios o productos defectuosos
• Fallas en la ejecución, entrega y gestión de procesos.
 Identificación del Riesgo
A) Factores Internos Causantes de Riesgos (DEBILIDADES)
4. Tecnologías y procesos

• Control Interno: Adecuación, Fortaleza, Calidad, Eficiencia y Eficacia.

• Falta de concordancia con los objetivos específicos.

• Generación de información no confiable o fuera de oportunidad.

• Recurrencia de observaciones del OCI o auditoría externa cualquiera que sea su origen (Federal,
estatal o privada).
Etapa III Evaluación de Riesgos

f) Identificación de los posibles efectos de los riesgos

Consecuencias que incidirán en el cumplimiento de metas y objetivos
institucionales, de materializarse el riesgo

Diagrama de
relaciones
 APF
Etapa III Evaluación de Riesgos
 Identificación del Riesgo
Matriz de Riesgos
Proceso No Riesgo Del Proceso Tipo de Riesgo Evento / Falla Factor de riesgo
1 2 6
3 4 5

Proceso: No. de Riesgo:

1 2
Corresponde al nombre del proceso / al cual se está realizando la Escriba en esta columna consecutivamente desde “R1” hasta “Rn”
evaluación de Riesgos y Controles. dependiendo del número de riesgos en el proceso

Riesgo del proceso:

3 4 Tipo de Riesgo Operativo, Estratégico, Crediticio, Mercado,
Descripción del riesgo identificado en el proceso
Reputacional.
Un riesgo se identifica como todas aquellas situaciones que afectan
o impiden el cumplimiento del objetivo del proceso.
5 Descripción del evento / o lo que puede fallar.
Ejemplo de la redacción de un Riesgo:

Objetivo del proceso: Procesar y verificar oportunamente la

información de los pagos recibidos de los afiliados.
6 Factor de Riesgo: Infraestructura, Personal, Procesos, Tecnología.
Riesgo: Inoportunidad en la verificación y procesamiento de los
pagos recibidos de los afiliados.
 ¿Cómo se identifican los riesgos?
La identificación del riesgo se realiza determinando las causas, con base en los factores internos y/o externos
analizados para la entidad, y que pueden afectar el logro de los objetivos.

Entender la importancia del manejo del riesgo implica conocer con más detalle los siguientes conceptos:

•Proceso: Nombre del proceso.

•Objetivo del proceso: Se debe transcribir el objetivo que se ha definido para el proceso al cual se le están identificando
los riesgos.

•Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones
de la entidad y afectar el logro de sus objetivos.

•Causas (factores internos o externos): Son los medios, las circunstancias y agentes generadores de riesgo.Los
agentes generadores que se entienden como todos los sujetos u objetos que tienen la capacidad de originar un riesgo.

•Descripción: Se refiere a las características generales o las formas en que se observa o manifiesta el riesgo identificado.

•Efectos: Constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la entidad; generalmente se dan
sobre las personas o los bienes materiales o inmateriales con incidencias importantes tales como daños físicos y
fallecimiento, sanciones, pérdidas económicas, de información, de bienes, de imagen, de credibilidad y de confianza,
interrupción del servicio y daño ambiental.
5 Porqués
Análisis de la causa raíz de los problemas
La estrategia de los 5 porqués consiste en examinar cualquier problema y realizar la
pregunta: “¿Por qué?” La respuesta al primer “porqué” va a generar otro “porqué”, la
respuesta al segundo “porqué” te pedirá otro y así sucesivamente, de ahí el nombre de la
estrategia 5 porqués.

La técnica es sencilla, no tiene gran dificultad de aplicación, es una herramienta fácil y

muchas veces eficaz para descubrir la raíz de un problema. Ya que es simple, se puede
adaptar de forma rápida para que puedas resolver casi cualquier problema, por lo que
debemos hacerla nuestra y aplicarla siempre que sea necesario

Cuando se busca resolver un problema, comienza con el resultado final de la situación que
quieres analizar y trabaja hacia atrás (hacia la raíz), pregunta de manera continua: “¿Por
qué?”. Repite una y otra vez la pregunta hasta que la causa raíz del problema se hace
evidente.
 5 Porqués Ejemplo:

Problema:
Los clientes están reclamando porque las entregas no se están haciendo a tiempo.
1.¿Por qué se están demorando las entregas? Porque la mercancía está retenida en la bodega.

2.¿Por qué la mercancía está retenida en la bodega? Porque los camiones están
tardando en salir.

3.¿Por qué los camiones están tardando en salir? Porque el trabajador está demorando en cargarlos.

4.¿Por qué el trabajador demora tanto en cagarlos? Porque una sola persona tiene que cargar muchos
camiones al mismo tiempo.

5.¿Por qué el trabajador tiene que cargar tantos camiones al mismo tiempo? Porque faltan ayudantes en
la bodega.

Causa del problema: falta de ayudantes en la bodega.

 Identificación del Riesgo

Gestión de Impuestos

Gestión Financiera

de impuestos sea de manera oportuna, correcta y según los requerimientos

legales.

¿Cuales son los Riesgos de este proceso de acuerdo al objetivo y sus causas o fallas que
pueden hacer que el riesgo se materialice ?
Riesgo:

Causa/Falla:

Efectos/Impactos: