ADMINISTRACIÓN DE LOS

RIESGOS EN EL CONTROL
ADMINISTRATIVO
 CLASIFICACIÓN DE LAS NORMAS DE CONTROL
INTERNO

I.- Primera Norma: Establecer y Mantener un Ambiente de Control.

II.- Segunda Norma: Administración de Riesgos.
III.- Tercera Norma: Implementación y/o actividades de control.
IV.- Cuarta Norma: Información y Comunicación.
V.- Quinta Norma Supervisión y Mejora Continua de Control Interno.
 TIPOS DE CONTROL INTERNO

• Control Preventivo:
Tiene como propósito anticiparse a la posibilidad

• Control Correctivo:
Subsanar en algún grado las acciones u omisiones
 RIESGO

• La probabilidad de que un evento o acción adversa pueda ocurrir, y

su impacto afecte negativamente en el logro de objetivos y metas.

FACTOR DE RIESGO
• Las circunstancias, causa o situación interna o externa que aumente
la probabilidad de que un riesgo se materialice.
 MAPA DE RIESGO
• La representación gráfica de uno o más riesgos que permite vincular
la probabilidad de ocurrencia y su impacto en forma clara y objetiva.

MATRIZ DE ADMINISTRACIÓN DE RIESGO

• La herramienta que refleja el diagnóstico general de los riesgos para
identificar estrategias y áreas de oportunidad en la Institución,
considerando las etapas de la metodología de administración de
riegos.
 Comité de
Control
Interno

Presidente
(Titular)
Voz y voto

Coordinador del Sistema

de Control Interno Vocal Ejecutivo (Sec.
(Inmediato Inferior a Téc.; Delegado ó
titular) análogo) Voz y voto
Voz

Sugerencia: Los vocales

Vocal 1 Vocal 2 Vocal ...X podrán ser Servidores
clave de las funciones
Voz y voto Voz y voto Voz y voto sustantivas de la
Institución
Metodología de Administración de Riesgos

Matriz de Administración de Riesgos

7
 Metodología de Administración de Riesgos
La Administración de riesgos es el proceso dinámico para establecer el contexto, identificar, analizar, evaluar y atender los riesgos asociados a las funciones,
procesos, programas y proyectos, mediante el análisis de los distintos factores que pueden provocarlos, con la finalidad de definir las actividades específicas que
permitan controlarlos, evitar su materialización y asegurar el logro de los objetivos y metas de las instituciones de una manera razonable.

Objetivo, Meta, Estrategia o

Proceso Institucional Problemáticas identificadas Actividades dentro del marco
expuesto al riesgo de que no en la Organización normativo de la Organización
se logre

Factor de Actividad 1
Riesgo 1

Factor de
Riesgo Riesgo 2 Actividad 2

Factor de
Riesgo 3 Actividad 3
Evento adverso e incierto que derivado
de su probabilidad de ocurrencia e Las actividades constituiran las
impacto, pudiera obstaculizar o Circunstancia o situación (interna opciones para atender los factores,
impedir el logro de los objetivos y o externa) que puede contribuir a con lo que se administrarán los
metas institucionales que un riesgo se materialice riesgos 8
 PROCESO PARA ELABORAR LA MATRIZ DE
RIESGOS

.Objetivo .Meta .E Riesgo Factor

strategia .Proceso Actividad
10 palabras 25 palabras
Institucional máximo máximo

9
Recomendaciones en la redacción de riesgos

Utilizar como referecnia el objetivo, meta, proceso o estrategia sobre el cual se identificará

Redactar de forma clara, específica y Haga

directa,
clicsin daragregar
para lugar a ambiguedades
texto
Utilizar 10 palabras como máximo para describirlo

Evitar calificativos como “malo”, “poco”, etc; optar por otros más precisos como “deficiente”,
“insuficiente”, “inadecuado”, “ineficiente”, etc.

No redactar comenzando con calificativos como “Falta de…” “No cumplir…” u otras frases
similares que llevan implicito el sesgo hacia una supuesta solución particular

10
 Redacción correcta de un riesgo (ejemplos)
ADJETIVO

SUSTANTIVO
VERBO EN
PARTIICIPIO
complemento RIESGO ESTRUCTURA
circunstancial
negativo

Por debajo de
Servicios
Otorgados los estandares RIESGO
médicos de calidad

Programas
Operados De manera
institucionales RIESGO
ineficiente

Permisos y/o Sin cumplir

concesiones
Otorgados con los RIESGO
requisitos

Usuarios En forma
Atendidos RIESGO
deficiente
12
 Redacción incorrecta de un riesgo (ejemplos)
Corrupción en el otorgamiento de liciencias.
Funciones incumplidas por el personal. • NO ES UN RIESGO, sino una
Costos y gastos incurridos en procesos efectuados
insuficientemente. dimensión y una causa
Ingresos propios generados (controlados, gestionados o gastados) subyacente de riesgo.
de manera insuficiente o de modo ineficiente

No cumplir con los objetivos de los progamas,

• NO ES UN RIESGO, sino una
metas, compromisos. Acciones de transparencia,
consecuencia de la posible
ética y prevención de conflicto de interés
materialización de un riesgo.
antendidas deficientemente.

Inadecuada aplicación de la normatividad por desconocimiento o

interpretación indebida. • NO ES UN RIESGO, sino un
Recursos Humanos (incluidos los conceptos factor humano,
estructura orgánica, servidores públicos o capital humano) factor de riesgo.
controlados, desarrollados o capacitados de manera deficiente.

Presentación extemporánea u omisión de la declaración

patrimonial. • NO ES RIESGO, sino un
Archivo resguardado deficientemente. problema que implica cargas de
Contabilidad registrada inadecuadamente. trabajo para el OIC o la
Bases de colaboración sin autorización o desarrollados
ineficazmente.
Institución. 13
 NIVEL DE DECISIÓN DEL RIESGO

Afecta negativamente el cumplimiento

ESTRATÉGICO de la Misión, Visión,
Objetivos y Metas Institucionales

Impacta de manera negativa en la

operación de los procesos, programas y
DIRECTIVO proyectos Institucionales

Repercute en la eficacia de las acciones

OPERATIVO y tareas realizadas por los responsables
de su ejecución
 CLASIFICACIÓN DE FACTORES

HUMANOS
Personas que participan en los programas, proyectos, procesos, actividades o tareas
FINANCIERO-PRESUPUESTAL
Recursos financieros y presupuestales necesarios para el logro de metas y objetivos
MATERIAL
Infraestructura y recursos materiales necesarios para el logro de metas y objetivos

TÉCNICO-ADMINISTRATIVO
Actividades relacionadas con la estructura orgánica, políticas, sistemas no informáticos,
procedimientos, comunicación e información que intervienen en la consecución de metas y
objetivos
TECNOLOGÍAS DE INFORMACIÓN
Sistemas (de información y comunicación) requeridos para administrar la información
NORMATIVO
Leyes, Reglamentos, normas y disposiciones que rigen la actuación de la institución
ENTORNO
15
Se refiere a las condiciones externas a la institución pública
 Se debe identificar al menos un factor para cada riesgo y no es
recomendable asignar más de 2 o 3 factores, además se recomienda
que no execeda de 25 palabras

FACTOR RIESGO
Personal sin la
Áreas con capacitación o
personal sin el
proclive a conocimiento
Bases de cometer actos ténico
licitación para la Bases de suficiente
de corrupción Sistemas de
compra de Padrón de licitación para
bienes beneficiarios la compra de información
relacionados con incompleto y/o medicamentos obsoletos
el programa, desactualizado Servicios
y utensilios
dirigidas o Programas médicos
dirigida
sesgadas
Institucionales otorgados por
operados debajo de los
ineficientemente estándares de
Deficiencias Áreas calidad Insuficiente
Inadecuada personal
aplicación de la en el diseño proclives
normatividad conceptual y de actos de para la
por operativo del Controles atención de
desconocimiento Incentivos corrupción
insuficientes programa “Y” internos los usuarios
para la insuficientes
coordinación en el
institucional proceso
16
 Metodología de Administración de Riesgos
Valoración de los riesgos
Valoración del grado de impacto. Se determina con una escala de valor de 0 a 10, de acuerdo con las posibles
consecuencias para el cumplimiento de los objetivos. Una calificación de 10 en grado de impacto, implica que el
riesgo impedirá que el objetivo se logre en absoluto.
Valoración de la probabilidad de ocurrencia. Se determina con una escala de valor de 0 a 10, considerando la
frecuencia con la que se pudiera materializar o se ha materializado el riesgo. Una calificación de 10 en grado de
probabilidad de ocurrencia, implica que el riesgo definitivamente se materializará.

Es recomendable que no más del 25% del total de los riesgos se encuentren en el cuadrante I.
Frecuencia con que se materializa Grado de Probabilidad de Ocurrencia
Grado de Impacto el riesgo
1
Muy Bajo 10
2 Mayor que 25% Muy Alto
9
3
Bajo 8
4 Entre 21 y 25% Alto
7
5
Regular 6
6 Entre 16 y 20% Regular
5
7
Alto 4
8 Entre 10 y 15% Bajo
3
9
Muy Alto 2
10 Inferior a 10% Muy Bajo
1
 MAPA DE RIESGOS

0.10 5.10 10.10

Definición Cuadrante II Cuadrante I

Probabilidad de Ocurrencia
Representación Riesgos de atención Riesgos de atención
gráfica de uno o Periódica Inmediata
más riesgos, que
permite vincular
la probabilidad 0.5 5.5 10.5
de ocurrencia y
Su impacto en
forma clara y Cuadrante III Cuadrante IV
Riesgos Riesgos de
objetiva.
Controlados Seguimiento

0.0 5.0 10.0

 JERARQUIZACIÓN DE RIESGOS

Una vez realizada la valoración de los riesgos, se procede a calcular a cada uno la suma ponderada de estas valoraciones, otorgándole
el valor de 0.6 al impacto y 0.4 a la probabilidad. Con la suma ponderada se jerarquizan los riesgos dentro de cada cuadrante,
ordenándolos de mayor a menor respecto al resultado obtenido.
Ejemplo de orden por ranking

Cuadrante Número consecutivo del Riesgo en Valor del Impacto Valor de la Suma ponderada Ranking (orden de
Inventario (X) Probabilidad (Y) (.6x+ .41) acuerdo al cuadrante)

I 5 8 7 7.6 1
I 7 7 8 7.4 2
I 4 6 9 7.2 3
I 1 7 7 7 4
I 8 7 6 6.6 5
I 10 6 7 6.4 6
I 3 5 8 6.2 7
II 9 4 7 5.2 1
III 2 4 4 4 1
IV 6 9 4 7 1
 Metodología de Administración de Riesgos
Representación Gráfica de los Riesgos

Partiendo del ejemplo anterior, el mapa de riesgos resultante sería el siguiente:

# Riesgo Impacto Probabilidad Cuadrante
1 7 7 I Mapa de Riesgos
2 4 4 III 10
3 5 8 I
9
4 6 9 I
5 8 7 I 8

6 9 4 IV 7
7 7 8 I 6
8 7 6 I
5
9 4 7 II
10 6 7 I 4

3
El resultado de las valoraciones colocaria a 7 de los 10 riesgos en 2
el cuadrante I, por lo que la mayoria de los riesgos serían
1
catalogados como de atención inmediata
0
3 4 5 6 7 8 9 10
 Metodología de Administración de Riesgos
Instrumentos para Administrar los Riesgos Identificados

La Dependencia o Entidad
deberá establecer las Programa de Trabajo de
actividades para atender los Administración de Riesgos
factores
de mayor peso asociados (PTAR)
a los riesgos
 Definición de la Estrategia para Administrar el Riesgo

Determinada la Valoración final, se debe definir la estrategia a seguir

[Link] el riesgo. Implica establecer acciones dirigidas a disminuir la

probabilidad de ocurrencia (acciones de prevención) y el impacto
(acciones de contingencia), tales como la optimización de los
procedimientos y la implementación o mejora de controles.
[Link] el riesgo. Se aplica cuando el riesgo se encuentra en el
Cuadrante III, Riesgos Controlados de baja probabilidad de ocurrencia y
grado de impacto y puede aceptarse sin necesidad de tomar otras
medidas de control diferentes a las que se poseen, o cuando no se tiene
opción para abatirlo y sólo pueden establecerse acciones de
contingencia.
[Link] el riesgo. Consiste en trasladar el riesgo a un externo a través
de la contratación de servicios tercerizados, el cual deberá tener la
experiencia y especialización necesaria para asumir el riesgo, así como
sus impactos o pérdidas derivadas de su materialización
 Determinada la Valoración final, se debe definir la estrategia a seguir

[Link] el riesgo.- Se refiere a distribuir parcialmente el riesgo y las

posibles consecuencias, a efecto de segmentarlo y canalizarlo a
diferentes unidades administrativas de la institución, las cuales se
responsabilizarán de la parte del riesgo que les corresponda en su
ámbito de competencia.
[Link] al Riesgo. La Administración deberá definir la tolerancia a los
riesgos identificados para los objetivos estratégicos definidos por la
Institución. En donde la tolerancia al riesgo se debe considerar como el
nivel aceptable de diferencia entre el cumplimiento cabal del objetivo
estratégico, respecto de su grado real de cumplimiento
[Link] Tercerizados. La Administración conserva la responsabilidad
sobre el desempeño de las actividades realizadas por los servicios
tercerizados que contrate para realizar algunos procesos operativos
para la institución, tales como servicios de tecnologías de información y
comunicaciones, servicios de mantenimiento, servicios de seguridad o
servicios de limpieza