 2.

NORMA GENERAL PARA EL COMPONENTE

EVALUACIÓN DE RIESGOS.
El proceso mediante el cual se identifican, analizan y se
manejan los riegos forma parte de un sistema de control
efectivo. Para ello la Organización debe establecer un
proceso suficientemente amplio que tome en cuenta sus
interacciones más importantes entre todas las áreas y de
éstas con el exterior.
Desde luego los riegos a nivel global incluye no sólo
factores externos sino también internos. (Ejm. interrupción
de un sistema de procesamiento de información; calidad
del personal; capacidad o cambios en relación con las
responsabilidades de la Gerencia). Los riesgos a nivel de
actividad también deben ser identificados, ayudando con
ellos a administrar los riesgos en las áreas o funciones más
importantes. Desde luego las causas del riesgo en este
nivel permanecen a un rango amplio que va desde lo obvio
hasta lo complejo y con distintos grados de significación.
• Primero deben identificarlos los objetivos
institucionales, vinculados y coherentes. Luego
deben identificarse y evaluarse los riesgos
relevantes que pueden afectar el alcanzar esos
objetivos.
• Los riesgos deben ser administrados
atendiendo a la existencia de un medio interno
y externo cambiante.
 2. NORMA GENERAL PARA EL COMPONENTE
EVALUACIÓN DE RIESGOS.
2.1. Planeamiento de la gestión de
riesgos.
Es el proceso de desarrollar y
documentar una estrategia clara,
organizada e interactiva para
identificar y valorar los riesgos que
puedan impactar en una organización,
impidiendo el logro de los objetivos.
MODELO DE GESTIÓN DE
Se deben desarrollar planes, métodos RIESGOS
de respuesta y monitoreo de cambios, • Estrategias
así como un programa para la • Organización
• Políticas
obtención de los recursos necesarios • Criterios
para definir acciones en respuesta a
riesgos.
 2. NORMA GENERAL PARA EL COMPONENTE
EVALUACIÓN DE RIESGOS.
2.2. Identificación de los riesgos
En la identificación de los riesgos se
tipifican todos los riesgos que pueden
afectar el logro de los objetivos de la
entidad debido a factores externos e
internos.

Los factores externos incluyen factores

económicos, medioambientales, políticos,
sociales y tecnológicos.

Los factores internos reflejan las

selecciones que realiza la administración e
incluyen la infraestructura, personal,
procesos y tecnología.
 EXTERNOS INTERNOS

• Una interrupción en el
• Desarrollo tecnológico. procesamiento de sistemas
• Cambio de las información.
necesidades y • La calidad del personal
expectativas del contratado y los métodos
cliente. de entrenamiento y
• Competencia. motivación.

• Nuevas legislaciones y • Un cambio en las

regulaciones. responsabilidades de la
administración.
• Catástrofes naturales.
• Un comité directivo de
auditoría ineficaz.
 2. NORMA GENERAL PARA EL COMPONENTE
EVALUACIÓN DE RIESGOS.
2.3. Valoración de los riesgos
En análisis o valoración del riesgo le permite a
la entidad considerar cómo los riesgos
potenciales pueden afectar el logro de sus
objetivos.

Se inicia con un estudio detallado de los temas

puntuales sobre riesgos que se hayan decidido
evaluar.

El propósito es obtener la suficiente

información acerca de las situaciones de riesgo
para estimar su probabilidad de ocurrencia,
tiempo, respuesta y consecuencias.
• Los acontecimientos potenciales se
evalúan a partir de 2 perspectivas:
probabilidad e impacto.

• El horizonte del tiempo usado para

determinar riesgos debe ser
constante con el horizonte del
tiempo de la estrategia y delos
objetivos.
PROBABILIDAD: Se deben establecer las categorías a utilizar y
su descripción, con el fin de que quien aplique
la escala mida a través de ella la posibilidad de
ocurrencia de los riesgos:

Probable : Es muy frecuente la materialización del riesgo o

se presume que llegará a materializarse.

Posible : Es frecuente la materialización del riesgo o se

presume que posiblemente se podrá
materializar.

Improbable: Es poco frecuente la materialización del riesgo

o se presume que no llegará a materializarse.
IMPACTO : Se debe establecer las categorías y su
descripción, de las consecuencias de la
materialización de los riesgos, por ejemplo:

Leve : Si el hecho llegara a presentarse, tendría bajo

impacto o efecto sobre la entidad y
organización.

Moderado: Si el hecho llegara a presentarse tendría medio

impacto o efecto en la entidad.

Catastrófico: Si el hecho llegara a presentarse tendría alto

impacto o efecto en la entidad.
 2. NORMA GENERAL PARA EL COMPONENTE
EVALUACIÓN DE RIESGOS.
2.4. Respuesta al riesgo
La administración identifica las opciones de
respuesta al riesgo considerando la probabilidad y
el impacto en relación con la tolerancia al riesgo
y su relación costo-beneficio. La consideración del
manejo del riesgo y la selección e
implementación de una respuesta son parte
integral de la administración de los riesgos.

Acciones de mitigación para reducir

(IMPACTO)

Mitigar y
manejar Acciones de mitigación para reducir
(PROBABILIDAD)
Contingencia

Acciones de contingencia
Evaluar posibles respuestas:
Evitar el Riesgo:
Compartir el Riesgo:
• Reducir la expansión de una
• Compra de seguros contra pérdidas
línea de productos a nuevos
inesperadas significativas.
mercados.
• Contratación de outsourcing para
• Vender una división, unidad de
procesos del negocio.
negocio o segmento geográfico
altamente riesgoso. • Compartir el riesgo con acuerdos
sindicales o contractuales con clientes
• Dejar de producir un producto o
proveedores y otros socios de negocio.
servicio altamente riesgoso.

Mitigar el Riesgo:
Acepar el Riesgo:
• Fortalecimiento del control interno en
• Auto-asegurarse (Self-insuring) los procesos del negocio.
contra pérdidas. • Diversificación de productos.
• Aceptar los riesgos de acuerdo a • Establecimiento de límites a las
los niveles de tolerancia de operaciones y monitoreos.
riesgo. • Reasignación de capital entre unidades
operativas.
 3. NORMA GENERAL PARA EL COMPONENTE
ACTIVIDADES DE CONTROL GERENCIAL.

Son políticas y procedimientos

establecidos para asegurar que se
están llevando a cabo las acciones
necesarias en la administración
delos riesgos que pueden afectar
los objetivos de la entidad,
contribuyendo a asegurar el
cumplimiento de éstos.

El Gerente designado debe

establecer una política de control
que se traduzca en un conjunto de
procedimientos documentados
que permitan ejercer las
actividades de control.
 3. NORMA GENERAL PARA EL COMPONENTE
ACTIVIDADES DE CONTROL GERENCIAL.
3.1. Procedimientos de
autorización y aprobación.
La responsabilidad por cada proceso,
actividad o tarea organizacional debe ser
claramente definida, específicamente
asignada y formalmente comunicada al
jefe respectivo. La ejecución de los
procesos, actividades o tareas debe
contar con la autorización y aprobación
de los jefes con el rango de autoridad
respectivo.
La autorización para la ejecución de procesos, actividades o
tareas debe ser realizada sólo por personan que tengan el
rango de autoridad competente. Las instrucciones que se
imparten a todos los jefes de la institución deben darse
principalmente por escrito u otro medio susceptible de ser
verificado y formalmente establecido.

La aprobación consiste en el acto de dar conformidad o

calificar positivamente, por escrito u otro medio susceptible
de ser verificado y formalmente establecido, los resultados
de los procesos, actividades o tareas con el propósito que
éstos puedan ser emitidos como productos finales o ser
usados como entradas en otros procesos. Los
procedimientos de aprobación deben estar documentados y
ser claramente comunicados a los jefes y demás
trabajadores.
 3. NORMA GENERAL PARA EL COMPONENTE
ACTIVIDADES DE CONTROL GERENCIAL.
3.2. Segregación de funciones
 3. NORMA GENERAL PARA EL COMPONENTE
ACTIVIDADES DE CONTROL GERENCIAL.
3.3. Evaluación costo-beneficio
El diseño e implementación de cualquier
actividad o procedimiento de control deben
ser precedidos por una evaluación de costo-
beneficio considerando como criterios la
factibilidad y la conveniencia en relación con
el logro de los objetivos, entre otros.
 3. NORMA GENERAL PARA EL COMPONENTE
ACTIVIDADES DE CONTROL GERENCIAL.
3.4. Controles sobre el acceso a los
recursos o archivos.
El acceso a los recursos o archivos debe limitarse al
personal autorizado que sea responsable por la
utilización o custodia de los mismos. La
responsabilidad en cuanto a la utilización y custodia
debe evidenciarse a través del registro de recibos,
inventarios o cualquier otro documento o medio que
permita llevar un control efectivo sobre los recursos y
archivos.
 3. NORMA GENERAL PARA EL COMPONENTE
ACTIVIDADES DE CONTROL GERENCIAL.

3.5. Verificaciones y conciliaciones.

Los procesos, actividades o

tareas significativos deben
ser verificados antes y
después de realizarse, así
como también deben ser
finalmente registrados y
clasificados para su
revisión posterior.
 3. NORMA GENERAL PARA EL COMPONENTE
ACTIVIDADES DE CONTROL GERENCIAL.
3.6. Evaluación de desempeño.

Se debe efectuar una evaluación

permanente de la gestión tomando
como base regular los planes
organizacionales y las disposiciones
normativas vigentes, para prevenir y
corregir cualquier eventual deficiencia
o irregularidad que afecte los
principios de eficiencia, eficacia,
economía y legalidad aplicables.
 3. NORMA GENERAL PARA EL COMPONENTE
ACTIVIDADES DE CONTROL GERENCIAL.
3.7. Rendición de cuentas

La organización, los gerentes, jefes y

trabajadores están obligados a rendir
cuentas por el uso de los recursos y
bienes de la entidad, el
cumplimiento misional y de los
objetivos institucionales, así como el
logro de los resultados esperados,
para cuyo efecto el sistema de
control interno establecido deberá
brindar la información y el apoyo
pertinente.
 3. NORMA GENERAL PARA EL COMPONENTE
ACTIVIDADES DE CONTROL GERENCIAL.
3.8. Revisión de procesos, actividades y
tareas.
Los procesos, actividades y
tareas deben ser periódicamente
revisado para asegurar que
cumplen con los reglamentos,
políticas, procedimientos
vigentes y demás requisitos. Este
tipo de revisión en una entidad
debe ser claramente distinguido
del seguimiento del control
interno.
 3. NORMA GENERAL PARA EL COMPONENTE
ACTIVIDADES DE CONTROL GERENCIAL.
3.9. Controles para las Tecnologías de la
Información y Comunicaciones (TIC).
Las actividades de control de las
TICs incluyen controles que
garantizan el procesamiento de
la información para el
cumplimiento misional y de los
objetivos de la entidad,
debiendo estar diseñados para
prevenir, detectar y corregir
errores de irregularidades
mientras la información fluye a
través de los sistemas.
 4. NORMA GENERAL PARA EL COMPONENTE
DE INFORMACIÓN Y COMUNICACIÓN.

4.1. Funciones y características de la

información.
 4. NORMA GENERAL PARA EL COMPONENTE
DE INFORMACIÓN Y COMUNICACIÓN.
4.2. Información y responsabilidad

 .
 4. NORMA GENERAL PARA EL COMPONENTE
DE INFORMACIÓN Y COMUNICACIÓN.
4.3. Calidad y suficiencia de la
información.
 4. NORMA GENERAL PARA EL COMPONENTE
DE INFORMACIÓN Y COMUNICACIÓN.
4.4. Sistemas de información.
Constituyen un instrumento para
el establecimiento de estrategias
organizacionales y por ende, para
el logro de los objetivos y metas.
Por ello deberá ajustarse a las
características, necesidades y
naturaleza de la entidad. De este
modo, el sistema de información
provee la información como
insumo para la toma de
decisiones, facilitando y
garantizando la transparencia en
la rendición de cuentas
 4. NORMA GENERAL PARA EL COMPONENTE
DE INFORMACIÓN Y COMUNICACIÓN.

4.5. Flexibilidad al cambio

Los sistemas de información deben ser
revisados periódicamente, y de ser
necesario, rediseñados cuando se
detecten deficiencias en sus procesos
y productos. Cuando la entidad
cambie objetivos y metas, estrategia,
políticas y programas de trabajo, entre
otros, debe considerarse el impacto en
los sistemas de información para
adoptar las acciones necesarias.
 4. NORMA GENERAL PARA EL COMPONENTE
DE INFORMACIÓN Y COMUNICACIÓN.

4.6. Archivo institucional.

 4. NORMA GENERAL PARA EL COMPONENTE
DE INFORMACIÓN Y COMUNICACIÓN.

4.7. Comunicación interna.

 4. NORMA GENERAL PARA EL COMPONENTE
DE INFORMACIÓN Y COMUNICACIÓN.

4.8. Comunicación externa

 4. NORMA GENERAL PARA EL COMPONENTE
DE INFORMACIÓN Y COMUNICACIÓN.

4.9. Canales de comunicación.

Los canales de
comunicación deben
asegurar que la información
llegue a cada destinatario
en la cantidad, calidad y
oportunidad requeridas para
la mejor ejecución de los
procesos, actividades y
tareas.
 5. NORMA GENERAL PARA LA SUPERVISIÓN
 Los sistemas de control interno requieren supervisión, es decir, un proceso que compruebe
que se mantiene el adecuado funcionamiento del sistema a los largo del tiempo. Esto se
consigue mediante actividades de supervisión continua, evaluaciones periódicas o una
combinación de ambas cosas.
 El alcance y frecuencia de las valuaciones dependerá de la evaluación de riesgos y de la
eficiencia de los procesos de supervisión.

 5.1. NORMAS BÁSICAS PARA LAS ACTIVIDADES DE PREVENCIÓN Y

MONITOREO

 5.1.1. Prevención y monitoreo

 5. NORMA GENERAL PARA LA SUPERVISIÓN

 5.1. NORMAS BÁSICAS PARA LAS

ACTIVIDADES DE PREVENCIÓN Y MONITOREO

5.1.2. Monitoreo oportuno del

control interno.
 5. NORMA GENERAL PARA LA SUPERVISIÓN

 5.2. NORMAS BÁSICAS PARA EL SEGUIMIENTO DE

RESULTADOS

5.2.1. Reporte de deficiencias

Las debilidades y deficiencias
detectadas como resultado del
proceso de monitoreo deben
ser registradas y puestas a
disposición de los responsables
con el fin de que tomen las
acciones necesarias para su
corrección.
 5. NORMA GENERAL PARA LA SUPERVISIÓN

 5.2. NORMAS BÁSICAS PARA EL SEGUIMIENTO DE

RESULTADOS

5.2.2. Seguimiento e implantación

de medidas correctivas
 5. NORMA GENERAL PARA LA SUPERVISIÓN

 5.3. NORMAS BÁSICAS PARA LOS

COMPROMISOS DE MEJORAMIENTO.

5.3.1. Autoevaluación
Corresponde a sus órganos y personal
competente dar cumplimiento a las
disposiciones o recomendaciones derivadas
de la respectiva autoevaluación, mediante
compromiso de mejoramiento institucional.
 5. NORMA GENERAL PARA LA SUPERVISIÓN
 5.3. NORMAS BÁSICAS PARA LOS
COMPROMISOS DE MEJORAMIENTO.

5.3.2. Evaluaciones
independientes.
Se deben realizar evaluaciones
independientes a cargo delos órganos de
control competentes para garantizar la
valoración y verificación periódica e
imparcial del comportamiento del
sistema de control interno y del
desarrollo de la gestión institucional,
identificando las deficiencias,
formulando las recomendaciones
oportunas para su mejoramiento.
GRACIAS