2.

Identificar, Evaluar y Administrar Riesgos

ANÁLISIS

IDENTIFICACIÓN

VALORACIÓN

RESPUESTA

¿Que hechos podrían causar que no

se logren los objetivos?
EL MAYOR DE LOS RIESGOS,
ES TENER DEBILIDADES
DESCONOCIDAS……..
 Principios del Componente Evaluación de Riesgos

6. La Organización ha de especificar los objetivos con suficiente claridad para

permitir la identificación y evaluación de los riesgos relacionados

7. La Organización debe identificar y evaluar sus riesgos

8. La Organización gestionará el riesgo de fraude-corrupción

9. La Organización debe identificar y evaluar los cambios importantes que

podrían impactar en el Sistema de Control Interno
 Preguntas a responder

¿Qué es el Riesgo?

¿Por qué debemos preocuparnos respecto al riesgo?

¿Cuál es el estatus del proceso de Administración de Riesgo en mi Entidad?

¿Qué están haciendo la alta dirección (Órgano de Gobierno, Titular, Administración)

al respecto la Administración de Riesgos?

¿Cómo evaluar los riesgos que impactan a la Entidad?

¿Cuáles son las opciones para los problemas de mi Entidad?

¿Cuáles son las mejores prácticas para implantar un sistema de auditoría basada en
riesgo?

¿Qué debemos cambiar?

 Riesgo

Un Riesgo es un hecho, una acción o una omisión que

podría afectar negativamente la capacidad de una
organización de lograr sus objetivos y ejecutar sus
estrategias con acierto.

Riesgo= ¿Qué puede fallar?

Probabilidad-Impacto

El Riesgo no desaparece por más que exista un control. El control sólo reduce el
impacto o probabilidad de ocurrencia de un riesgo
 Uniendo el Control Interno con el Riesgo Administrativo

RIESGO
Posibilidad de que un evento desfavorable pueda afectar
negativamente la habilidad de la organización para el
logro de sus objetivos.

ADMINISTRACIÓN DE RIESGOS
Es el proceso para incrementar la confianza en la habilidad de una
organización para anticipar, priorizar y superar obstáculos para alcanzar
sus metas.

Riesgo: evento que podría impedir el logro de un objetivo

 Gobierno Riesgo Cumplimiento

Detectar oportunamente factores

internos y externos que puedan afectar
a la institución.

Ser Preventivo

Gestión de riesgos, vigilancia de los controles, la mejora

del gobierno empresarial.
 2. Evaluación del riesgo.
Implica:

(1) Identificación del riesgo:

• Relacionado con los objetivos de la entidad;

• Comprensión

• Incluye riesgos debidos a factores externos e internos, tanto a nivel de la entidad

como de sus actividades;

(2) Valoración del riesgo

• Estimación de la importancia del riesgo

• Valoración de la probabilidad de que el riesgo ocurra

¿Qué hacer, cuándo y con quien?

ANÁLISIS
 2. Evaluación del riesgo.

(3) Evaluación de la tolerancia al riesgo de la organización;

(4) Desarrollo de respuestas:

• Cuatro tipos de respuesta al riesgo deben ser considerados:

Evitar el riesgo : Evitar la actividad para no asumir el riesgo

Reducir el riesgo: Mitigar el riesgo

Compartir o transferir el riesgo: Compartir total o parcialmente el riesgo

Asumir el riesgo: Aceptar o tomar el riesgo

¿Qué hacer, cuándo y con quien?

ANÁLISIS
 Definiciones de Apetito, Tolerancia y Capacidad de Riesgo

El apetito es el nivel de riesgo que la empresa quiere aceptar y su tolerancia es la

desviación respecto a este nivel. La capacidad es el máximo de riesgo que una
organización puede soportar en la persecución de sus objetivo.

ANÁLISIS
 TORMENTA DE IDEAS PARA IDENTIFICAR RIESGOS
Requerimientos
1. Un problema que solucionar (identificación de riesgos)
2. Un grupo con potencial para trabajar en equipo. Puede ser desde un pequeño equipo operacional o gestor de
entre cinco y diez personas (por ejemplo: Gerentes, especialistas, asesores, entre otros)
3. Un tablero, grandes hojas de papel en blanco o algo que sea fácilmente visible por todos, y algunos plumones para
escribir, y
4. Un facilitador, alguien cuya función es obtener las sugerencias de los participantes, no imponerles sus opiniones,
aunque con aptitudes de liderazgo para mantener el orden y el propósito de la sesión.

Reglas básicas
• El facilitador dirige cada sesión.
• El facilitador pide sugerencias de los participantes.
• No se permite la crítica (a las sugerencias de cualquiera) por parte de nadie y
• Todas las sugerencias se registran en la pizarra (incluso las disparatadas).

Procedimiento
1. Definir el problema: (identificación de riesgos)
• Pida sugerencias sobre el problema.
• No permita las críticas (a las sugerencias de los demás) por parte de nadie.
• Escriba en la pizarra todos los riesgos propuestos.
• Agrupe los riesgos similares o relacionados, y después
• Ordénelos y lístelos por orden de prioridad (empezando por los más importantes).
2. Resumir en la pizarra las decisiones del grupo:
• Los riesgos,
• Las causas o efectos,
• El impacto
• La probabilidad,
• Controles existentes
IDENTIFICACIÓN
IDENTIFICACIÓN
 Factores Causantes de Riesgos
A) Factores Externos Causantes de Riesgos (AMENAZAS)

1. Económicos y Financieros

• Financiamiento o falta de fuentes de

financiamiento
• Tasas de cambio
• Tasas de interés
• Morosidad
• Liquidez o falta de disponibilidad de fondos
• Inflación
• Crisis y ajustes fiscales
• Programa de ajustes económicos
• Competencia privada (en caso de existir)
• Acciones de proveedores, tal como crisis de
suministros

IDENTIFICACIÓN
 Factores Causantes de Riesgos
A) Factores Externos Causantes de Riesgos (AMENAZAS)

2. Políticos y Legales

•Modificaciones a disposiciones legales y normativas o circunstancias presupuestales que afecten el

erario o finanzas públicas.

•Cambio en la naturaleza jurídica de la entidad

•Aprobación del POA con ajustes o modificaciones respecto del elaborado por la entidad, en temas de
objetivos, metas y/o recursos asignados.

•Normas fiscales.

•Leyes ambientales.

•Juicios , sanciones, etc.

•Cambio de gobierno.

•Cambio de autoridades.

•Inestabilidad en los niveles de dirección y en los servidores públicos.

IDENTIFICACIÓN
 Factores Causantes de Riesgos
A) Factores Externos Causantes de Riesgos (AMENAZAS)

3. Sociales

• Cambio en las necesidades y expectativas del ciudadano/usuario

•Decisiones de estilo de vida

•Comportamientos sociales

•Cambio de necesidades o reclamos de la comunidad de

ciudadanos/Clientes/Usuarios/Proveedores/ONGs/etc.

•Movimientos o reclamos sindicales.

IDENTIFICACIÓN
 Factores Causantes de Riesgos
A) Factores Externos Causantes de Riesgos (AMENAZAS)

4. Tecnológicos

• Proceso continuado de modernización de la gestión pública

•Utilización de nuevas tecnologías en la implantación de

sistemas administrativos o en los procesos productivos de
bienes y servicios.

•Sistemas de seguridad de acceso a la información.

•Cambios tecnológicos que puedan provocar obsolescencia

organizacional.

•Tecnologías disponibles.

IDENTIFICACIÓN
 Factores Causantes de Riesgos
A) Factores Externos Causantes de Riesgos (AMENAZAS)

5. Medioambientales

• Catástrofes naturales (desastres, terremotos, incendios,

huracanes, etc)

•Emisiones

•Productos de desechos generados.

IDENTIFICACIÓN
 Factores Causantes de Riesgos
A) Factores Externos Causantes de Riesgos (AMENAZAS)

6. Operacionales

•Fraude externo, referido a la realización de actividades no

autorizadas, hurtos y otro tipo de fraude.

•Daños a activos físicos, por acontecimientos de seguridad

pública o daños maliciosos.

IDENTIFICACIÓN
 B) Factores Internos Causantes de Riesgos (DEBILIDADES)

1. Reputación
• Imagen y reputación institucional
• Transparencia
• Rendición permanente de cuentas

[Link]
• Recursos económicos y físicos
• Daño malicioso a bienes
• Magnitud de los recursos financieros-presupuestarios
asignados
• Grado de liquidez o convertibilidad de los activos

IDENTIFICACIÓN
 B) Factores Internos Causantes de Riesgos (DEBILIDADES)

3. Recursos Humanos

• Clima ético inadecuado.

• Faltas de sistemas de motivación. Presión por el cumplimiento de objetivos.
• Estructura organizacional adoptada (centralizada, Descentralizada, etc)
• Métodos para capacitación, actualización y motivación del personal.
• Reorganizaciones y /o reestructuraciones.
• Reducciones de Personal.
• Alta rotación del personal.
• Características del personal (Mandos Superiores y resto del personal):
cantidad, calidad, perfiles, competencia profesional, adecuación, compromiso
e integridad.
• Tasa de retención de empleados.
• Prácticas de empleados.
• Temas sindicales.
• Seguridad e higiene en el trabajo.
• Temas de diversidad y discriminación.
• Políticas de incremento salarias vinculadas a resultados.

IDENTIFICACIÓN
 B) Factores Internos Causantes de Riesgos (DEBILIDADES)

4. Tecnología

• Complejidad de los sistemas.

• Falta o escasez de medios de tecnología informática y
comunicación.
• Falta de actualización de los sistemas de información
tecnológica.
• Falta de sistemas adecuados de protección física y lógica de
datos (seguridad y acceso a la información).
• Disponibilidad de sistemas y datos
• Confiabilidad en la tecnología de información.
• Grado de sistematización de las operaciones del proceso
• Sistemas implantados o abandonados. Incidencia o alteraciones
en los sistemas de información.

IDENTIFICACIÓN
 B) Factores Internos Causantes de Riesgos (DEBILIDADES)

5. Procesos

• Control Interno: Adecuación, Fortaleza, Calidad, Eficiencia

y Eficacia.

• Falta de concordancia con los objetivos específicos.

• Generación de información no confiable o fuera de

oportunidad.

• Recurrencia de observaciones del OCI o auditoría externa

cualquiera que sea su origen (Federal, estatal o privada).

IDENTIFICACIÓN
 B) Factores Internos Causantes de Riesgos (DEBILIDADES)

6. Operacionales

• Crecimientos acelerado o expansión de la prestación de bienes o

servicios.
• Complejidad del proceso, área, programa o proyecto e
importancia de los cambios realizados en los mismos.
• Inversiones en nuevas líneas de productos o servicios.
• Volatilidad.
• Cambios en las operaciones.
• Dispersión geográfica.
• Fraude interno, referido a la seguridad de los sistemas, hurto y
otro tipo de fraudes.
• Prácticas de negocios inadecuados.
• Divulgación de información confidencial o crítica
• Servicios o productos defectuosos
• Fallas en la ejecución, entrega y gestión de procesos.
IDENTIFICACIÓN
 Considerar el Riesgo de Corrupción

La Administración, con el apoyo, en su caso, de las unidades

especializadas (por ejemplo, Comité de Ética, Comité de
Riesgos, Comité de Cumplimiento, etc.), debe considerar la
probabilidad de ocurrencia de actos corruptos, fraudes, abuso,
desperdicio y otras irregularidades que atentan contra la
apropiada salvaguarda de los bienes y recursos públicos al
identificar, analizar y responder a los riesgos.

La corrupción, por lo general, implica la obtención ilícita por

parte de un servidor público de algo de valor, a cambio de la
realización de una acción ilícita o contraria a la integridad.
ARBOL DEL FRAUDE

IDENTIFICACIÓN
ARBOL DEL FRAUDE Apropiación ilegal de
activos

IDENTIFICACIÓN
 ANALISIS EXTERNO

FACTORES AMENAZAS SITUACIÓN DE RIESGO

ECONÓMICOS
Inflación
Devaluación
Incrementos salariales de aplicación general
Políticas de transferencia de recursos
Estabilidad de la politica monetaria
Tendencias inflacionarias
POLÍTICOS
Estabilidad Política
Credibilidad en las instituciones del Estado
Normas que afectan los objetivos de la entidad
Cambios en la política general que afectan a la entidad
SOCIALES
Porcentaje de la población que presenta necesidades
básicas insatisfechas
Situaciónes de orden público

IDENTIFICACIÓN
 ANALISIS INTERNO

FACTORES DEBILIDADES SITUACIÓN DE RIESGO

CAPACIDAD DIRECTIVA
Imagen que proyecta los Directivos de
la entidad
Capacidad de definición de Planes
Estratégicos y Operativos
Comunicación y control directivo a la
operación de la entidad
Aprobación y aplicabilidad del Sistema
de Control Interno
CAPACIDAD TECNOLÓGICA
Habilidad técnica de la entidad para
ejecutar los procesos que le competen
Capacidad de innovación
Nivel de integración de sus sistemas
computacionales
Controles exintentes sobre tecnología
aplicada

IDENTIFICACIÓN
IDENTIFICACIÓN
DIAGRAMACIÓN CAUSA Y EFECTO DE LOS RIESGOS

ISHIKAWA

IDENTIFICACIÓN
IDENTIFICACIÓN
 FORMATO PARA EL INVENTARIO DE RIESGOS

INVENTARIO DE RIESGOS

Entidad
Fecha:
Tipo de Riesgo
Riesgo identificado De
N° Estratégico Operativo Financiero Cumplimiento Tecnológico
1 Recorte del preupuesto asignado X
2 Cambio de gestión de la entidad X
Cheque que se ingresa en la
3 cuenta bancaria incorrecta X
4 Falla del sistema informático
Se registra una cantidad
incorrecta en la cuenta del
5 usuario X
6 Colusión X
Variaciones en los tipos de
7 cambio X
Fluctuaciones en la bolsa de
8 valores X
Uso no autorizado de
9 información X
Sistema informático que no
soporta los procesos de la
10 entidad X
Infraestructura de tecnología de
11 información insuficiente X
 CLASIFICACION DE RIESGO

Durante el proceso de identificación del riesgo se recomienda hacer una clasificación de

los mismos teniendo en cuenta los siguientes conceptos:

1. Riesgo estratégico

Se asocia con la forma en que se administra la entidad. El manejo del riesgo estratégico se
enfoca en asuntos globales relacionados con la misión y el Cumplimiento de los objetivos
estratégicos, la clara definición de políticas y el diseño y conceptualización de la entidad
por parte de la Alta Dirección.

2. Riesgo operativo

Comprende los riesgos relacionados tanto con la parte operativa como técnica de la
entidad, incluye riesgos provenientes de deficiencias en los sistemas de información, en la
definición de los procesos, en la estructura organizacional, en la desarticulación entre
dependencias, lo cual conduce a ineficiencias, oportunidades de corrupción e
incumplimiento de los compromisos institucionales.
3. Riesgo Financiero

Se relacionan con el manejo de los recursos de la entidad e incluye, la ejecución

presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes
de tesorería y el manejo sobre los bienes. De la eficiencia y transparencia en el manejo
de los recursos, así como su interacción con las demás áreas dependerá en gran parte el
éxito o fracaso de toda entidad.

4. Riesgos de cumplimiento

Se asocian con la capacidad de la entidad para cumplir con los requisitos legales,
contractuales, de ética pública y en general con su compromiso ante la comunidad.

5. Riesgos de tecnología

Se asocian con la capacidad de la entidad para que la tecnología disponible satisfaga sus
necesidades actuales y futuras y soporte el cumplimiento de su misión.
 REGISTRO DE RIESGOS

Registro de Identificación de Riesgos

Entidad;
Fecha:
Proceso:
Objetivo del Tipo de Causas (Factores Efectos/
Subproceso Subproceso Riesgo Riesgo internos y externos) Consecuencias
 Objetivo del
subproceso Número de riesgo Riesgo Tipo de Riesgo Causas(Internas y Externas) Efectos/Consecuencias
Subproceso
Determinar la Interno: Ma la evaluación de
empresa ca lificada Des ignar a una empresa que l a s propuestas Que l a empresa
Li ci tación pa ra la ejecución de R1 no cuente con la ca pacidad cumpl imiento Externa s: Limitante de ga nadora no termine la
l a obras (técnica y ´técni ca y económica) i nterese de participar por obra
económica) otra s empresas
Interno: Falta de Recursos
huma nos s uficientes para la Pa go de Conceptos no
rea lizar el tra bajo de ejecutados
Da r s eguimiento a l Autori zación de estimaciones
Supervisión R2 Opera tivo s upervisión
proceso constructivo i ncorrectas
Externo: Intervención del
Pa gos de conceptos
contra tista hacia la
a di cionales.
s upervisión
Cobros de escalatorias en l os Internas: Desconocimiento Aumento del costo de
R3
preci os de l os plazos l a obra

Pa ga r las
Fa l ta de seguimiento en las
es timaciones en R4 Pa ri dad cambiaria Fi nanciero y de Obra s sobrevaluadas
Pa go de Estimaciones es timaciones
ti empo conforme a la Cumpl imiento
norma tividad
Externa s: Radicación del
R5 Ca rgos Financieros
recurs o extemporaneo.
 CONCEPTOS

Proceso: Nombre del proceso principal.

Subproceso: Incluye aquellos subprocesos que se desprenden del proceso principal,

pueden ser considerados de acuerdo con las etapas del proceso principal.

Objetivo del subproceso: Se debe transcribir el objetivo que se ha definido para el

subproceso al cual se le están identificando los riesgos.

Riesgo: Nombre del riesgo.

Causas (factores internos o externos): Son los medios, las circunstancias y agentes
generadores de riesgo. Los agentes generadores entendidos como todos los sujetos u
objetos que tienen la capacidad de originar un riesgo; se pueden clasificar en cuatro
categorías: personas, materiales, instalaciones y entorno.

Efectos (consecuencias): Constituyen las consecuencias de la ocurrencia del riesgo

sobre los objetivos de la entidad; generalmente se dan sobre las personas o los bienes
materiales o no materiales con incidencias importantes como: daños físicos y
fallecimiento, sanciones, pérdidas económicas, de información, de bienes, de imagen,
de credibilidad y de confianza, interrupción del servicio y daño ambiental.
Administración Incremento de
de Riesgos = Confianza
Es el proceso para incrementar la confianza en la
habilidad de una organización para anticipar,
priorizar y superar obstáculos para alcanzar sus
metas.

Evite sorpresas
Objetivos básicos de la Administración de Riesgos

Enfocarse a los aspectos críticos de la institución.

Desarrollar anticipadamente un balance razonado entre el costo y la

tolerancia y aceptación de cierto tipo a riesgo

Ser monitoreada constantemente en conjunto con otras medidas

Asegurar la estabilidad de la institución

Dar tranquilidad y confianza a la dirección y órgano de gobierno

KPMG Jesús González

 Cultura Preventiva

Evite Sorpresas. Lograr una cultura preventiva

Aprovechar oportunidades. El mayor riesgo pudiera ser en no aceptar/ tomar

ningún riesgo.

Reducir costos y pérdidas

Mejorar resultados a través de gestionar impactos potenciales

Poder modificar la estructura organizacional conforme se requiera

Asistir a los órganos de gobierno en su esfuerzo en la definición de estrategia,

supervisión y vigilancia.

KPMG Jesús González

 VALORACIÓN DEL RIESGO

La Valoración de los riesgos permite a una entidad clasificar y valorar los eventos
potenciales que impactan en la consecución de los objetivos. El grupo encargado
evaluará los acontecimientos desde dos perspectivas (probabilidad e Impacto) y
usando una combinación de métodos cualitativos y cuantitativos.

La valoración de los riesgos se efectuará con base en la información obtenida en el

registro de riesgos, elaborado en la etapa de identificación, con el fin de obtener
información para determinar el nivel de riesgo y las acciones que se van a
implementar.

Probabilidad: La posibilidad de ocurrencia del riesgo; ésta puede ser medida con
criterios de frecuencia o teniendo en cuenta la presencia de factores internos y
externos que puedan propiciar el riesgo, aunque éste no se haya materializado.

Impacto: Las consecuencias que puede ocasionar a la organización la

materialización del riesgo.

VALORACIÓN
 VALORACIÓN DEL RIESGO

Escalas cualitativa y cualitativa de probabilidad e impacto

Categoría Definición

PROBABILIDAD
PROBABLE Es muy frecuente la materialización del riesgo o se presume que llegará a m aterializarse 71-100

POSIBLE: Es muy frecuente la materialización del riesgo o se presume que posiblemente se podrá
. materializar 26-70

IMPROBABLE: Es poco frecuente la materialización del riesgo o se presume que no llegará a materializarse 0-25

IMPACTO

DESASTROSO: Si el hecho llegara a presentarse, tendría alto impacto o efecto sobre la entidad 71-100

MODERADO: Si el hecho llegara a presentarse tendría medio impacto o efecto en la entidad 26-70

LEVE: Si el hecho llegara a presentarse tendría bajo impacto o efecto en la entidad 0-25

VALORACIÓN
Riesgo Inaceptable: Se requiere acción inmediata. Planes de tratamiento requeridos, implementados y reportados a
la alta dirección.

Riesgo Importante: Se requiere atención de la alta dirección. Planes de tratamiento requeridos, implementados y
reportados a los jefes de las oficinas, divisiones, entre otros.

Riesgo Moderado. Debe ser administrado con procedimientos normales de control.

Riesgo Tolerable. Menores efectos que pueden ser fácilmente remediados. Se administra con procedimientos
rutinarios.

Riesgo Aceptable. Riesgo insignificante. No se requiere ninguna acción.

VALORACIÓN
I
M
P
A
C
T
O

PROBABILIDAD

VALORACIÓN
 Administración de Riesgo
MAPA DE RIESGOS
3
IMPACTO/CONSECUENCIA
II I
“Riesgos de “Riesgos de
atención atención
periódica” inmediata”

IV III
“Riesgos “Riesgos de
controlados” seguimiento”
0 3
PROBABILIDAD DE OCURRENCIA

VALORACIÓN
VALORACIÓN
I
M
P
A
C
T
O

PROBABILIDAD

VALORACIÓN
 RESPUESTA AL RIESGO

Evitar el riesgo, implica tomar las medidas para prevenir un riesgo adverso. Es siempre la
primera alternativa a considerar y se logra cuando al interior de los procesos se generan
cambios sustanciales por mejoramiento, rediseño o eliminación como resultado de la
implantación de adecuados controles y acciones emprendidas. Un ejemplo de esto puede ser el
control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo
tecnológico, entre otros.

Reducir el riesgo, implica reducir tanto la probabilidad (medidas de prevención), como el

impacto (medidas de protección). Se consigue mediante la optimización de los procedimientos y
la implementación de controles.

Compartir o transferir el riesgo, consiste en trasladar el impacto negativo de una amenaza,

junto con la propiedad de la respuesta, a un tercero. Transferir el riesgo simplemente da a otra
parte la responsabilidad de su gestión; no lo elimina. Por ejemplo, los seguros y otro sería la
información de gran importancia se puede duplicar y almacenar en un lugar distante y de
ubicación segura, en vez de dejarla concentrada en un sólo lugar.

Asumir el riesgo, luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo
residual que se mantiene, en este caso el gerente del proceso simplemente acepta la pérdida
residual probable y elabora planes de contingencia para su manejo.

RESPUESTA
 CONTROLES NECESARIOS

Después de haber seleccionado las respuestas al riesgo, la Dirección debe identificar

las actividades de control que permitirán asegurar que las respuestas a los riesgos
se lleven a cabo de manera adecuada y oportuna.

Si bien las actividades de control se establecen, por norma general, para asegurar
que se llevan a cabo de manera adecuada la respuesta a los riesgos, en el caso de
ciertos objetivos las propias actividades de control constituirán la respuesta al riesgo.

RESPUESTA
 RIESGO RESIDUAL

El riesgo residual es aquél que permanece después que la Dirección toma las
acciones de control necesarias para reducir la probabilidad y consecuencia del
riesgo.

Criterios para la valoración del riesgo residual

CRITERIOS VALORACIÓN DEL RIESGO RESIDUAL

No existe actividades de control Se mantiene el nivel de riesgo residual

Existen actividades de control Se reduce en un nivel del riesgo inicial

Existen actividades de control eficaces Se reduce en dos niveles de riego .

. inicial

RESPUESTA
 MATRIZ DE RIESGO

Evaluación de Riesgo Respuesta al Riesgo Responsable

Riesgo Impacto Probabilidad Nivel de riesgo Respuesta Acciones Actividades de Riesgo
Nivel Valor Nivel Valor Nivel Valor Control residual

Riesgo: posibilidad de ocurrencia de un evento que pueda entorpecer el normal

desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos.

Evaluación del riesgo: resultado obtenido en la matriz de calificación, evaluación entre

impacto y probabilidad.

Acciones: responde al accionar de mejora que realizara la entidad en base a la

respuesta al riesgo.

Actividades de control: son aquellos controles necesarios a implementar, que se

incluirán para dar respuesta al riesgo y su acción respectiva.

Riesgo residual: es el resultado de determinar la vulnerabilidad de la entidad al riesgo,

luego de confrontar la evaluación del riesgo con las respuestas.
RESPUESTA
 OBRAS PUBLICAS

Número de PROBABILIDAD IMPACTO NIVEL DE RIESGO

riesgo
Riesgo Tipo de Riesgo
NIVEL VALOR NIVEL VALOR NIVEL VALOR
Designar a una empresa POSIBLE 2 DESASTROSO 3 IMPORTANTE 6
que no cuente con la
R1 cumplimiento
capacidad ´técnica y
económica)

Autorización de POSIBLE 2 DESASTROSO 3 IMPORTANTE 6

R2 estimaciones Operativo
incorrectas

Cobros de escalatorias
R3 POSIBLE 2 MODERADO 2 MEDIO 4
en los precios

R4 Paridad cambiaria Financiero y de LEVE 2 MODERADO 2 MEDIO 4

Cumplimiento

R5 Cargos Financieros PROBABLE 3 DESASTROSO 3 INACEPTABLE 9

RESPUESTA
 OBRAS PUBLICAS

RESPUESTA ACTIVIDADES CONTROLES RIESGO RESIDUAL RESPONSABLE

REDUCIR Conformar un Comité externo MODERADO DIRECCION DE LICITACIONES
Actas de sesión

REDUCIR Certificar al personal MODERADO DIRECCION DE OBRAS PUBLICAS

Constancia

MITIGAR Establecer un Sistema Informático TOLERABLE DIRECCION DE ADMINISTRACION

Reporte
Establecer bases para la
utilizacion de productos
MITIGAR TOLERABLE DIRECCION DE OBRAS PUBLICAS
nacionales siempre y cuando no Documento normativo
afecte la calidad publicado y difundido

Establecer informes semanales de

REDUCIR MODERADO DIRECCION DE ADMINISTRACION
control y seguimiento de avances
Reportes

RESPUESTA
 CASO PRÁCTICO DE EVALUACIÓN DE RIESGOS
A continuación se presenta la identificación, valoración y respuesta a los riesgos del proceso de
adquisición y contrataciones de bienes y servicios en una entidad del sector público:

Primer paso
Del proceso “Adquisiciones y Contrataciones de Bienes y Servicios” se identificaron varios
subprocesos que lo conformaban, de los cuales se seleccionaron dos:

• Requerimiento de bienes y servicios incluidos en el Plan Anual de Adquisiciones y

Contrataciones

• Requerimiento de bienes y servicios no programados en el Plan Anual de Adquisiciones y

Contrataciones.

Segundo paso
Se identificaron las gerencias o unidades orgánicas que estaban involucradas en los
subprocesos, entre éstas:

• Áreas usuarias
• Gerencia de Administración y Finanzas
• Departamento de Logística
• Oficina de Planeación y Desarrollo
• Comité Especial
• Oficina de Asesoría Jurídica
• Gerencia General.
RESPUESTA
Tercer paso
Se efectuaron reuniones con las gerencias involucradas y se plantearon, a través de
una tormenta de ideas, los principales riesgos que estarían involucrados en los
subprocesos seleccionados. Para ello se determinaron qué objetivos específicos
debería cumplir cada subproceso y qué causas podrían originar riesgos.

Como resultado de las reuniones desarrolladas se elaboró el Registro de Riesgos

respectivo.

Cuarto paso
Identificados los riesgos de los subprocesos, se procedió a realizar conjuntamente
con las gerencias involucradas la valorización respectiva de los riesgos tomando en
cuenta las escalas de probabilidad e impacto establecidas en el presente
documento.

Quinto paso
Habiendo valorado los riesgos, se procedió a establecer las posibles respuestas y
actividades de control que se deberán tomar para la minimización del riesgo,
obteniendo finalmente el riesgo residual que la entidad deberá asumir.

Finalmente se elaboró la Matriz de Riesgos que incluía la valoración, respuesta y

actividad de control a implementar.
RESPUESTA
REGISTRO DE RIESGOS

RESPUESTA
MATRIZ DE RIESGOS

RESPUESTA
MAPA DE SITUACIÓN DE RIESGO RESIDUAL

RESPUESTA
 Riesgos en Cuentas por Cobrar
Riesgo Contable: Fallas en los registros de las actividades de cuentas por cobrar
(créditos, pagos y ajustes) de forma exacta y oportuna pueden distorsionar los informes
contables o causar retrasos en el proceso.

Riesgo de Ajustes: Las fallas en el control efectivo de los ajustes realizados a las cuentas
de los clientes puede resultar en desviaciones o imposibilidad de cobrar correctamente
los fondos que la compañía tiene derecho.

Riesgo de Antigüedad: La inhabilidad de mantener registros que refleje en forma correcta

la antigüedad de los balances pendientes puede originar retrasos o esfuerzos
inadecuados de cobro.

Riesgo de Comunicación: [Link] fallas de comunicación entre ventas, cuentas por cobrar y
cobros puede provocar malos entendidos respecto a los términos de pago de clientes.

Riesgo de Relación con Clientes: El manejo infectivo de reclamos de clientes, estatus de

cuentas, o valores vencidos puede resultar en que los clientes decidan no seguir siendo
clientes de la compañía en el futuro.

Riesgo Recursos Humanos: Las fallas en atraer, retener, desarrollar y apoderar al personal
inhibe a la empresa a realizar, manejar y supervisar las actividades claves del área.
 Riesgos en Cuentas por Cobrar
Riesgo de Integridad: Empleados deshonestos o mal dirigidos puede realizar actividades
que no están acordes con el criterio o expectativas de la gerencia.

Riesgo de Incentivo de Desempeño: La falta de medidas definidas o la falta de habilidad

para obtener información relevante con el propósito de medición puede perjudicar la
capacidad de la gerencia de supervisar al personal y negocio en general.

Riego de Políticas y Procedimientos: Las políticas y procedimientos infectivos,

insuficientes, no claros o desactualizados puede provocar un pobre ejecución de los
procesos o incrementar los costos de operación.

Riesgo de Segregación de Funciones: Una inadecuada segregación de funciones permite a

los empleados procesar ajustes no autorizados o desviar cobros de clientes sin ser
detectado oportunamente.

Riesgo de Sistema: Un sistema desactualizado, pobremente diseñado o no interconectado

puede inhibir la capacidad de la empresa de registrar sus transacciones de cuentas por
cobrar, lo que resulta en balances incorrectos y cuentas no recuperables.

Riesgo de Valuación: El uso inadecuado de Fórmulas, modelos o juicios para determinar los
balances incobrables puede resultar en reservas para cuentas malas incorrectas
 Riesgos en Cuentas por Pagar

Contabilidad
Comunicación
Contrato
Recursos Humanos
Integridad
Pago Exacto
Pago Oportuno
Incentivo de Desempeño
Medidas de Desempeño
Políticas y Procedimientos
Segregación de Funciones
Sistema
Relaciones con los Proveedores
Ejemplos de Riesgo de Fraude en Adquisiciones, por cada fase
 Beneficios de la realización de talleres de
evaluación de riesgos

1. Fortalece el apoderamiento del personal

2. Mejora la responsabilidad individual sobre el manejo de riesgos
3. Permite documentar formalmente el proceso de gestión de riesgos
4. Identifica riesgos críticos y oportunidades claves
5. Se toman decisiones con mayor información
6. Alienta a pensar fuera de lo ordinario
7. Incrementa la satisfacción personal
8. Fortalece la Rendición de cuentas
9. Mejora el entendimiento del rol realizado por otros
10. Incentiva la comunicación
11. Deriva “centros” y grupos de poder
12. Genera mejor información para la alta dirección
13. Mejora la transferencia de información
14. Aumenta la confianza
15. Permite conocer nuestras debilidades y vulnerabilidades
16. Desarrolla una perspectiva más proactiva
17. Forza a priorizar los recursos usados
18. Permite aprender de los errores
19. Rompe barreras
20. Reduce duplicidades
 Beneficios de la realización de talleres de
evaluación de riesgos

21. Identifica brechas “fisuras”

22. Promueve la abertura
23. Mejora la protección de los activos
24. Permite manejar mejor los problemas
25. Mejora los procesos de negocio claves de la institución
26. Nos permite compartir información útil sobre controles
27. Mejora la coordinación de actividades
28. Disminuye las sorpresas
29. Evita fallas embarazosas de los sistemas
30. Mantiene actualizados los registros sobre los riesgos
31. Mejora la posibilidad de alcanzar los objetivos de negocio
32. Reduce el estrés y las crisis inesperadas
33. Agrega valor a todas las áreas
34. Fortalece el trabajo en equipo
35. Nos permite desarrollar un enfoque más consistente
36. Desafía el statu quo
37. Mejora la calidad del servicio o producto
38. Incrementa la innovación
39. Mejora la probidad
40. Aumenta el Cumplimiento
 Que debe alertar al auditor

Número de reclamos Rotación de Personal

Problemas operativos Ausentismo

Número de errores de ejecución de un Registro contables incorrectos

proceso
Ajustes a cuentas de resultados
Litigios de Clientes
Auxiliares descuadrados
Satisfacción de clientes
Cuentas no Conciliadas
Accesos no autorizados (intentos,
exitosos) Fallas de disponibilidad del sistema

Denegación de servicios (intentos,

exitosos)
 Los riesgos relacionados con este componente
son los siguientes:

− Identificación parcial de riesgos.

− Inexistencia de identificación de riesgos.

− Identificación inoportuna de riesgos.

− Análisis inadecuado de riesgos.

− Desconocimiento de la dirección sobre los riesgos existentes

identificados.
 Cuestionario de Verificación: Evaluación de Riesgos

Elementos Si No N/A Documento de Soporte/

Planeación de la Administración de Riesgos
1 Se ha desarrollado un Plan de actividades de identificación,
análisis o valoración, manejo o respuesta y monitoreo y
documentación de los
riesgos

2 La Dirección (Directorio, Gerencias y Jefaturas) ha

establecido y difundido lineamientos y políticas para la
administración de riesgos
3 La planeación de la administración de riesgos es especifico
en algunas áreas, como en la asignación de
responsabilidades y monitoreo de los mismos

4 La entidad cuenta y ha puesto en práctica el Plan de

Administración de Riesgos
CUESTIONARIO

Identificación de Riesgos
1 Están identificados los riesgos significativos por cada
objetivo
2 Se han identificado los eventos negativos (riesgos) que
pueden afectar el desarrollo de las actividades

3 Se ha participado en la identificación de los riesgos de las

actividades de las diferentes unidades orgánicas o procesos

4 En la identificación de riesgos se ha tomado en

consideración aspectos internos (de la entidad) y externos
(fuera de la entidad)

Valuación de Riesgos
1 En el desarrollo de sus actividades se ha determinado y
cuantificado la posibilidad de que ocurran los riesgos
identificados (probabilidad de ocurrencia)
2 En el desarrollo de sus actividades se ha cuantificado el
efecto que pueden ocasionar los riesgos identificados
(impacto)

3 Los riesgos, sus probabilidades de ocurrencia, impacto y

cuantificación han sido registrados por escrito

Respuesta al Riesgo
1 Se han establecido las acciones necesarias (controles) para
afrontar los riesgos evaluados
2 Se han definido lineamientos para efectuar seguimiento
periódico a los controles desarrollados con respecto a los
riesgos