Documento Tecnico #70 Implantacion Mantencion y Actualizacion Del Proceso de Gestion de Riesgos PDF

DOCUMENTO TCNICO N 70
Versin 0.1
MINISTERIO SECRETARA GENERAL DE LA PRESIDENCIA
IMPLANTACIN,
MANTENCIN
Y
ACTUALIZACIN DEL PROCESO DE
GESTIN DE RIESGOS EN EL
SECTOR PBLICO
MINISTERIO
SECRETARA GENERAL
DE LA PRESIDENCIA
Este documento tiene como principal objetivo facilitar a las

organizaciones gubernamentales, la implementacin y cumplimiento
del Proceso de Gestin de Riesgos, as como su mantencin y
mejora continua. El enfoque tcnico est basado principalmente en
la Norma Chilena NCh-ISO 31000:2012, Gestin del Riesgo Principios y Orientaciones, y en menor medida en el Marco de
Gestin de Riesgos Corporativos ERM COSO II.
Marzo 2015
CAIGG
rea de Estudios
Consejo de Auditora Interna General de Gobierno
TABLA DE CONTENIDOS
MATERIAS
PGINA
PRESENTACIN
I.- INTRODUCCIN
II.- OBJETIVO GENERAL DEL DOCUMENTO
III.- RELACIN CON EL ASEGURAMIENTO
IV.- MARCO METODOLGICO PARA EL PROCESO DE GESTIN DE RIESGOS
V.- PROCESO DE GESTIN DE RIESGOS
1.- Conceptos Generales sobre Riesgos
2.- Conceptos Generales sobre Gestin de Riesgos
3.- Modelos para la Gestin de Riesgos
4.- Marco de Trabajo de la Norma NCh ISO 31000:2012
11
5.- Fases Genricas en el Proceso de Gestin de Riesgos
14
VI.- CONCEPTOS Y ELEMENTOS A INCORPORAR PARA EL MARCO DE TRABAJO Y

PROCESO DE GESTIN DE RIESGOS EN LAS ORGANIZACIONES GUBERNAMENTALES
17
A.- Marco de Trabajo de la Gestin de Riesgos
17
B.- Mantencin y Mejoramiento del Proceso de Gestin de Riesgos
17
1.- Fase Establecimiento del Contexto
17
2.- Fase Identificacin de Riesgos
34
3.- Fase Anlisis de Riesgos
38
4.- Fase Valoracin de Riesgos
40
5.- Fase Tratamiento de Riesgos
43
6.- Fase Monitoreo y Revisin
47
7.- Fase Comunicacin y Consultas
49
C.- Registro del Proceso de Gestin de Riesgos
53
D.- Reportes del Proceso de Gestin de Riesgos al Consejo de Auditora Interna
54

VII.- BIBLIOGRAFA
55
ANEXO N 1: EJEMPLO ILUSTRATIVO DE POLTICA DE GESTIN DE RIESGOS
56
ANEXO N 2: EJEMPLO DE DEFINICIN DE ROLES
58
ANEXO N 3: ROL DE LA AUDITORA INTERNA EN EL PROCESO DE GESTIN DE

RIESGOS EN EL SECTOR GUBERNAMENTAL
59
ANEXO N 4: GUA BSICA PARA EL LEVANTAMIENTO DE INFORMACIN DE LOS

PROCESOS Y MODELAMIENTO DE RIESGOS
61
ANEXO N 5: TABLAS DE VALUACIN PARA CONSTRUIR LA MATRIZ DE RIESGOS
64
ANEXO N 6: EJEMPLO DE LEVANTAMIENTO DE INFORMACIN DE UN PROCESO
70
ANEXO N 7: EJEMPLOS DE TCNICAS DE EVALUACIN DE RIESGOS
79
ANEXO N 8: EJEMPLOS DE RIESGOS Y CONTROLES RELACIONADOS CON EL

GOBIERNO ELECTRNICO
82
ANEXO N 9: CONCEPTOS GENERALES SOBRE REQUISITOS BSICOS DE CONTROL

ADECUADO CONSIDERADOS EN EL MODELO
85
ANEXO N 10: EJEMPLO: INFORMACIN PARA EL TRATAMIENTO DE RIESGOS
99
ANEXO N 11: MATRIZ DE RIESGOS ESTRATGICA FORMATO TIPO
100
PRESENTACIN
Como una de las iniciativas tendientes al fortalecimiento de la Auditora Interna considerado

en el Programa de Gobierno de S.E. la Presidenta de la Repblica, Michelle Bachelet; el Consejo
de Auditora Interna General de Gobierno, entidad asesora en materias de auditora interna,
control interno, gestin de riesgos y gobernanza, tiene el rol de promover la mejora continua
de la funcin de auditora interna gubernamental, y entregar recursos a la red de auditores
para la generacin de competencias y perfeccionamiento tcnico de su trabajo, considerando
las ltimas tendencias de auditora interna y las mejores prcticas aceptadas a nivel nacional e
internacional.
En este mbito, se pone a disposicin de la Administracin del Estado, el Documento Tcnico N

70, denominado Implantacin, Mantencin y Actualizacin del Proceso de Gestin de Riesgos
en el Sector Pblico. Este documento est concebido para ser una gua a ser aplicada en el
Estado, en la implementacin, mantencin y mejora continua del Proceso de Gestin de
Riesgos.
Santiago, Marzo 2015.
Daniella Caldana Fulss

Auditora General de Gobierno

I.-
INTRODUCCIN
En la actualidad un factor fundamental para el xito de la gestin de una entidad, sea pblica o
privada, la constituye su Gobierno Corporativo, descrito como el sistema mediante el cual las
empresas son dirigidas y controladas para contribuir a la efectividad y rendimiento de la
organizacin. Su fin ltimo es contribuir a la maximizacin del valor de las compaas, en un
horizonte de largo plazo.1 Segn la Organizacin para la Cooperacin y el Desarrollo
Econmicos (OCDE), el Gobierno Corporativo es el sistema por el cual las sociedades del
sector pblico y privado son dirigidas y controladas. La estructura del Gobierno Corporativo
especifica la distribucin de los derechos y de las responsabilidades entre los diversos actores
de la empresa, como por ejemplo, el Consejo de Administracin, el Presidente y los Directores,
accionistas y otros terceros proveedores de recursos. Sin perjuicio de la definicin que quiera
aceptarse, el concepto de Gobierno Corporativo considera los esfuerzos por manejar una
entidad y mejorar su gestin. Una de las herramientas o mecanismos claves para ello, es la
implementacin de procesos de gestin de riesgos, que ayuda a las organizaciones al
cumplimiento de sus metas estratgicas y operativas y al mejoramiento de sus procesos.
En este sentido, y con la finalidad que las organizaciones gubernamentales mejoren sus
procesos y maximicen las posibilidades de cumplir sus metas y objetivos en forma adecuada,
es necesario que las organizaciones gubernamentales, mantengan y mejoren las actividades
del Proceso de Gestin de Riesgos que se viene desarrollando en la Administracin del Estado
desde el ao 2007. Lo anterior, considerando el levantamiento de procesos de la institucin o la
revisin del mismo; la identificacin, anlisis y valorizacin de los riesgos crticos y sus
controles y, en especial, la formulacin de medidas de tratamiento de dichos riesgos.
A contar del ao 2014, el enfoque metodolgico se basa principalmente, pero no en forma
exclusiva, en las Normas Chilenas NCh-ISO 31000:2012, Gestin del Riesgo - Principios y
Orientaciones, NCh-ISO 31010:2013, Gestin del Riesgo - Tcnicas de Evaluacin del Riesgo,
NCh- ISO Gua 73:2012, Gestin del Riesgo Vocabulario y NCh-ISO 31004:2014 Gestin del
Riesgo Orientacin para la implementacin de ISO 31000. Todas estas, emitidas por el
Instituto Nacional de Normalizacin (INN), organismo que tiene a su cargo el estudio y
preparacin de las normas tcnicas en Chile.
La Norma Chilena NCh-ISO 31000:2012 se estudi a travs del Comit Tcnico de Gestin de
Riesgo del INN, para entregar los principios y orientaciones acerca de la implementacin de
una gestin del riesgo, como tambin el establecimiento de su marco de trabajo y sus
procesos. Dicha norma es idntica a la versin en ingls de la Norma Internacional ISO
31000:2009 Risk Management - Principles and Guidelines, norma que fue utilizada como
referencia en materia de gestin del riesgo por el Consejo de Auditora desde el ao 2010
hasta el ao 2013.
Sin perjuicio de lo previamente sealado, y en consideracin al actual estado de madurez que
ha alcanzado la implementacin del proceso de gestin de riesgos en las entidades del sector
gubernamental, las organizaciones gubernamentales podrn previa solicitud y aprobacin por
parte del Consejo de Auditora, proponer e implementar, si corresponde, un modelo de gestin
de riesgos basado principalmente en la Norma Chilena NCh-ISO 31000:2012 o en otros marcos
aceptados, que estn adaptados a las caractersticas y particularidades especficas de la
organizacin.
1
Gobierno Corporativo en Chile despus de la Ley de OPAS, Teodoro Wigodski S1, Franco Ziga G,
Departamento de Ingeniera Industrial. Universidad de Chile.

En lo que se refiere a la funcin de auditora interna, sta tendr un rol de apoyo para que la
Direccin pueda alinear el enfoque y las prcticas de gestin de riesgos con la norma NCh-ISO
31000:2012, as como contribuir a mantener estas prcticas alineadas de manera continua.
Adems, debe proveer aseguramiento a la Direccin sobre la efectividad de la gestin de los
riesgos, cuyos resultados en conjunto con las directrices emitidas por el Consejo de Auditora
Interna de Gobierno, servirn para retroalimentar el proceso.
En el presente documento se ha consolidado toda la informacin disponible referida al Proceso
de Gestin de Riesgos en el Sector Gubernamental, establecindose la siguiente estructura:
Como punto I esta introduccin; en el punto II se seala el objetivo general del documento;
en el punto III, la relacin con la Auditora de Aseguramiento del Proceso de Gestin de
Riesgos; en el punto IV, el marco metodolgico para el Proceso de Gestin de Riesgos bajo
NCh-ISO 31000:2012; en el punto V, se establecen conceptos bsicos y fundamentales de
la Gestin de Riesgos; en el punto VI se seala el anlisis de las fases del Proceso de
Gestin de Riesgos que deben ser aplicadas por las organizaciones gubernamentales;
tambin se seala en el punto VI, la necesidad que las organizaciones gubernamentales
enven al CAIGG los reportes derivados del Proceso de Gestin de Riesgos en los trminos,
plazos y formatos que esta entidad comunique oportunamente, y en el punto VII, se
presenta la Bibliografa que sustenta el presente documento.
Finalmente, se adjuntan anexos que contienen: en el Anexo N 1, un ejemplo de poltica de
gestin de riesgos; en el Anexo N 2 un ejemplo de asignacin de roles y responsabilidades;
en el Anexo N 3 la descripcin del rol del auditor interno en el Proceso de Gestin de
Riesgos; en el Anexo N 4 se entrega una gua para el levantamiento de procesos; el Anexo
N 5 establece las tablas de valuacin para riesgos, controles y exposicin; el Anexo N 6
entrega un ejemplo de levantamiento de procesos; el Anexo N 7 enuncia tcnicas de
evaluacin de riesgos y oportunidades, bajo NCh-ISO 31010:2013; el Anexo N 8 entrega un
ejemplo de riesgos genricos que afectan los procesos mejorados con Tecnologas de
Informacin; el Anexo N 9 define los conceptos generales de control adecuado; el Anexo N
10 presenta un ejemplo de plan de tratamiento de riesgos con estrategias, acciones e
indicadores y, por ltimo en el Anexo N 11 se acompaa un ejemplo de Matriz de Riesgos
Estratgica construida con la metodologa descrita en el documento.
Hay que relevar, que cada organizacin gubernamental debe tener implementado un Proceso
de Gestin de Riesgos que sea til para identificar y gestionar aquellos eventos que puedan
afectar el logro de sus objetivos estratgicos y misin institucional. Para ello deben aplicarse
todas las fases que se definen en el presente Documento Tcnico, con la finalidad de tener una
gestin de riesgos slida. Peridicamente, el Consejo de Auditora podr solicitar algunos
reportes derivados del Proceso de Gestin de Riesgos, pero para obtener estos reportes la
organizacin gubernamental debe ejecutar la metodologa contenida en la presente gua, para
conseguir por una parte un Proceso de Gestin de Riesgos robusto funcionando en la
organizacin gubernamental y por otra, reportes de calidad, que entreguen informacin
adecuada para la Presidencia de la Repblica, para la coordinacin y gestin adecuada de los
diversos organismos del Gobierno.
Es necesario recordar que la entrega de informacin al Consejo de Auditora Interna General
de Gobierno deber focalizarse en informar sobre los riesgos reales y potenciales para la
organizacin gubernamental, para efectos de hacer una gestin ms eficiente, priorizando los
temas y materias de mayor relevancia y criticidad en cada proceso o actividad que desempea.

II.-
OBJETIVO GENERAL DEL DOCUMENTO
Documentar los procedimientos y facilitar a las Organizaciones Gubernamentales, la

implantacin y cumplimiento satisfactorio del Proceso de Gestin de Riesgos, as como su
mantencin y actualizacin. Para ello, todas las organizaciones deben cumplir al menos los
siguientes objetivos:
Dar cumplimiento a las directrices que sobre la materia, formule el Consejo de Auditora
Interna, de acuerdo a lo definido en el Decreto Supremo N 12 del ao 97.
Asumir la responsabilidad de la adopcin de medidas tendientes a la gestin efectiva de
los riesgos, especialmente los de mayor criticidad para la entidad, informando de ello al
Consejo de Auditora Interna General de Gobierno.
Disponer de los recursos necesarios para la correcta implementacin y funcionamiento
del Proceso de Gestin de Riesgos en la entidad.
El Proceso de Gestin de Riesgo en las organizaciones gubernamentales, estar regido por el

presente Documento Tcnico y por las dems normativas e instrucciones que el CAIGG
determine en forma complementaria.
III.-
RELACIN CON EL ASEGURAMIENTO
A la Unidad de Auditora Interna, le corresponder entregar aseguramiento sobre el Proceso de

Gestin de Riesgos que desarrolle la organizacin gubernamental, de acuerdo con las
directrices establecidas por el Consejo de Auditora en esta materia. Se contribuir as, a la
revisin permanente y mejora continua del proceso, que permita prevenir y mejorar aspectos
del funcionamiento del Proceso de Gestin de Riesgos como un todo. Cabe sealar que la
retroalimentacin especfica, entregada en los Informes de Auditora, que refiere a procesos en
particular sometidos a evaluacin durante el ao, conforme al Plan Anual de Auditora, tambin
es parte del aseguramiento al Proceso de Gestin de Riesgos.
En este marco, es necesario tambin, que los auditores internos entreguen aseguramiento
razonable a sus Jefes de Servicio, acerca del nivel de cumplimiento de los planes de
tratamiento de los riesgos identificados y presentados al Consejo de Auditora en forma
peridica. De esta manera, el auditor interno entregar su opinin acerca del tratamiento de los
riesgos crticos priorizados en la organizacin gubernamental y si los planes formulados han
logrado mitigar los riesgos hasta un nivel aceptable para la misma o si por el contrario se
requiere reformular dichas medidas.
IV.-
MARCO METODOLGICO PARA EL PROCESO DE GESTIN DE RIESGOS
El modelo metodolgico para la Gestin de Riesgos en las organizaciones gubernamentales

estar basado principalmente en las disposiciones de las Normas Chilenas ya mencionadas
anteriormente: NCh-ISO 31000:2012 - Gestin del Riesgo - Principios y Orientaciones, NChISO 31010:2013 - Gestin del Riesgo - Tcnicas de Evaluacin del Riesgo, NCh-Gua ISO
73:2012 Gestin del Riesgo - Vocabulario, y NCh-ISO 31004:2014 Gestin del Riesgo
Orientacin para la implementacin de ISO 31000 y, en menor medida, en otros marcos de
gestin de riesgos corporativos2.
Marco Gestin de Riesgos Corporativos ERM, Modelo de Capacidad GRC - OCEG, entre otros.

El presente documento se entender como el marco tcnico de referencia para la implantacin,
mantencin y actualizacin del Proceso de Gestin de Riesgos en el Estado.
V.-
PROCESO DE GESTIN DE RIESGOS
1.- Conceptos Generales sobre Riesgos

La Norma NCh-ISO Gua 73:2012 define riesgo como el efecto de la incertidumbre sobre los
objetivos y destaca que con frecuencia, el riesgo se caracteriza por referencia a potenciales
eventos y consecuencias, o a una combinacin de ambos. Por su parte, en el Marco Integrado
de Control Interno COSO I (Versin 2013) el riesgo se define como la posibilidad
(probabilidad) de que un acontecimiento ocurra y afecte (consecuencia o impacto)
negativamente a la consecucin de los objetivos. La evaluacin del riesgo implica un proceso
dinmico e iterativo para identificar y evaluar los riesgos de cara a la consecucin de los
objetivos. Dichos riesgos deben evaluarse en relacin a unos niveles preestablecidos de
tolerancia. De este modo, la evaluacin de riesgos constituye la base para determinar cmo se
gestionarn. Una condicin previa a dicha evaluacin es el establecimiento de objetivos
asociados a los diferentes niveles de la entidad.
El Marco Integrado de Control Interno COSO I (Versin 2013) incluye adicionalmente a los
atributos clsicos de evaluacin de riesgos: probabilidad y consecuencia o impacto, dos nuevos
elementos a tener en cuenta; especficamente se incluye el concepto de velocidad y el de
persistencia de los riesgos:
La velocidad de riesgo se refiere a la rapidez con la que impacta un riesgo en la entidad, es

decir, se refiere al ritmo con el que se espera que la entidad experimente el impacto.
La persistencia de un riesgo hace referencia a la duracin del impacto en la entidad
despus de que el riesgo se haya materializado.
En forma complementaria, el documento Risk Assessment in Practice Thought Paper, de la

organizacin COSO3 emitido el ao 2012, incluye en la evaluacin del riesgo los elementos de
velocidad de ocurrencia y vulnerabilidad, cuyo concepto corresponde a la incapacidad de
resistencia cuando se presenta un fenmeno amenazante, o la incapacidad para reponerse
despus de que haya ocurrido un desastre.
Sin perjuicio de lo previamente sealado, y en consideracin a que estos conceptos son an
muy preliminares en teora de riesgos, la evaluacin del nivel de severidad del riesgo en el
modelo metodolgico que se presenta ms adelante en este documento, se realizar en base a
los criterios clsicos, es decir, en base a la probabilidad de ocurrencia e impacto del riesgo.
2.- Conceptos Generales sobre Gestin de Riesgos
Como se seal, las tendencias en materias de administracin estn dirigidas a la creacin y
mantenimiento de Gobiernos Corporativos fuertes que propendan a la transparencia en el
quehacer de las entidades, a la responsabilidad y probidad de los integrantes del Directorio y
los administradores y a la creacin de valor para los interesados o stakeholders, en este caso,
para el ciudadano. Para lograr todo ello, la alta direccin cuenta con herramientas como la
gestin de riesgos y el control interno. La primera como un proceso para identificar, evaluar,
3
www.coso.org

manejar y controlar acontecimientos o situaciones potenciales, con el fin de proporcionar un
aseguramiento razonable respecto del alcance de los objetivos de la organizacin; y el
segundo, entendido como un sistema de acciones y medidas asumidas por quienes toman las
decisiones para gestionar los riesgos y aumentar la probabilidad de alcanzar los objetivos y
metas establecidas.4
En el mbito de la gestin de riesgos, organizaciones de todos los tipos y tamaos se enfrentan
a factores internos y externos que hacen incierto saber si y cundo van a alcanzar sus
objetivos. El efecto que esta incertidumbre tiene en los objetivos de una organizacin, se
denomina riesgo5. La Gestin de Riesgos es un proceso estructurado, consistente y continuo
implementado a travs de toda la organizacin para identificar, evaluar, medir y reportar
amenazas y oportunidades que afectan el poder alcanzar el logro de sus objetivos. Todos en la
organizacin juegan un rol en el aseguramiento de xito de la Gestin de Riesgos, pero la
responsabilidad principal de la misma recae sobre la Direccin.6
La definicin anterior se puede complementar con otros importantes elementos:
La Gestin de Riesgos es un proceso iterativo que debe contribuir a la mejora

organizacional a travs del perfeccionamiento de los procesos.
Puede ser aplicada a todos los niveles de una organizacin, es decir, en los niveles
estratgicos, tcticos y operacionales.
Tambin puede ser aplicada a proyectos especficos, para sustentar decisiones
especficas o para administrar reas especficas de riesgo.
Para cada fase del Proceso de Gestin de Riesgos deberan mantenerse registros
adecuados, suficientes como para satisfacer a una auditora externa o certificacin
independiente.
No slo considera la identificacin y tratamiento de riesgos, sino que tambin las
oportunidades que contribuyan al logro de los objetivos.
La aplicacin del marco terico del Proceso de Gestin de Riesgos siempre debe
adecuarse a la entidad y al sector que sta pertenece.
Beneficios Potenciales de la Aplicacin de la Gestin de Riesgos
Mejora las posibilidades de alcanzar los objetivos en la organizacin.

Incrementa el entendimiento de riesgos claves y sus implicaciones en la organizacin.
Se identifica y comparte la responsabilidad de la administracin de los riesgos del
negocio.
Genera y fortalece el enfoque en asuntos que realmente importan a la organizacin.
Contribuye a disminuir las sorpresas y crisis en la organizacin.
Incrementa la posibilidad de que cambios e iniciativas de proyectos puedan ser logrados
en mejor forma.
Mejora las capacidades de tomar mayor riesgo por mayores recompensas sociales y
econmicas.
Genera mayor informacin y con ms transparencia sobre los riesgos identificados,
tomados y las decisiones realizadas.
Normas Generales de Auditora Interna y de Gestin del Colegio de Contadores de Chile y Normas Internacionales
para el Ejercicio Profesional de la Auditora Interna THEIIA.
5
NCh-ISO 31000:2012.
6
Cfr. Marco Integrado de Gestin de Riesgos COSO II.

La gestin de riesgos debe considerar al definir los criterios de riesgo, el Apetito del Riesgo de
la organizacin gubernamental. Este concepto se ha definido en algunos marcos de control
interno y de gestin de riesgos como: la cantidad de riesgo, desde un punto de vista amplio,
que una organizacin est dispuesta o desea aceptar en la persecucin de valor7; el riesgo que
se est dispuesto a aceptar en la bsqueda de la misin/visin de la entidad8 o la cantidad y
tipo de riesgo que una organizacin desea retener o perseguir9. Esto es, cuanto riesgo se
puede aceptar para dar cumplimiento a su misin institucional, objetivos estratgicos y entregar
un servicio de calidad, agregando valor a los usuarios, beneficiarios o a la comunidad toda. El
apetito de riesgo debe ser revisado por la Direccin por lo menos una vez al ao, junto con la
estrategia de la organizacin y los procesos de planificacin.
Tambin hay que considerar el concepto de Tolerancia al Riesgo, que es el nivel aceptable de
la variacin alrededor del logro de un objetivo de negocio especfico, el que debe alinearse con
el apetito del riesgo de una organizacin. Este considera cunta variacin puede aceptarse en
el cumplimiento de los objetivos y la atencin a los ciudadanos. Dicho de otra forma, la
tolerancia al riesgo es la cantidad mxima de un riesgo que una organizacin gubernamental
est dispuesta a aceptar para lograr sus objetivos.
Otro concepto importante que se debe considerar al definir los criterios, es la Capacidad de
Riesgo, que hace referencia a la cantidad y tipo de riesgo mximo que una organizacin
pblica es capaz de soportar en la persecucin de sus objetivos.
Los conceptos antes sealados deben ser considerados al implementar el Proceso de Gestin
de Riesgos, especialmente cuando las organizaciones gubernamentales formulen y presenten
para su aprobacin al Consejo de Auditora, un modelo adaptado a sus caractersticas y
necesidades especficas. Lo anterior, teniendo en cuenta que hay organizaciones
gubernamentales que manejan un riesgo mayor que otras (por ejemplo, las entidades de apoyo
social potencialmente son ms riesgosas por el tipo de usuario vulnerable) y cada una tiene
niveles distintos de tolerancia y capacidad de riesgos.
3.- Modelos para la Gestin de Riesgos
Si bien existe una diversidad de modelos o framework para la gestin de riesgos, en principio
su concepto global es el mismo, con fundamentos financieros, matemticos o analticos quiz
distintos. En este contexto, es necesario realizar un breve comentario sobre la Norma NCh-ISO
31000:2012.
Esta norma recomienda que las organizaciones desarrollen, implementen y mejoren
continuamente un marco cuyo objetivo es integrar el proceso de gestin de riesgos en general
en la gobernanza de la organizacin, la estrategia y la planificacin, la gestin, los procesos de
informacin, las polticas, los valores y la cultura, de manera que sea un proceso integrado en
toda la entidad.
La gestin de riesgos puede aplicarse a toda una organizacin, en sus reas y niveles, en
cualquier momento, as como a las funciones especficas, proyectos y actividades.
Marco Integrado de Gestin de Riesgos COSO II.

Marco Integrado de Control Interno COSO I (Versin 2013).
9
NCh-ISO GUIA 73:2012.
8

Para que la gestin del riesgo sea eficaz, las organizaciones deberan cumplir en todos sus
niveles con los principios siguientes:
a) La gestin del riesgo crea y protege el valor
La gestin del riesgo contribuye al logro demostrable de los objetivos y a la mejora del
desempeo. Por ejemplo, en lo referente a la salud y seguridad de las personas, al
cumplimiento de los requisitos legales y reglamentarios, a la aceptacin por el pblico, a la
proteccin ambiental, a la calidad del producto, a la gestin del proyecto, a la eficiencia en las
operaciones, y a su gobernanza y reputacin.
b) La gestin del riesgo es una parte integral de todos los procesos de la organizacin
La gestin del riesgo no es una actividad independiente separada de las actividades y procesos
principales de la organizacin. La gestin del riesgo es parte de las responsabilidades de
gestin y una parte integral de todos los procesos de la organizacin, incluyendo la
planificacin estratgica y todos los procesos de la gestin de proyectos y de cambios.
c) La gestin del riesgo es parte de la toma de decisiones
La gestin del riesgo ayuda a quienes toman las decisiones a seleccionar opciones informadas,
a priorizar las acciones y a distinguir entre planes de accin alternativos.
d) La gestin del riesgo trata explcitamente la incertidumbre
La gestin del riesgo tiene en cuenta explcitamente la incertidumbre, la naturaleza de esa
incertidumbre, y la manera en que se puede tratar.
e) La gestin del riesgo es sistmica, estructurada y oportuna
Un enfoque sistemtico, oportuno y estructurado de la gestin del riesgo contribuye a la
eficiencia y a resultados coherentes, comparables y fiables.
f) La gestin del riesgo se basa en la mejor informacin disponible
Los elementos de entrada del proceso de gestin del riesgo se basan en fuentes de
informacin tales como datos histricos, experiencia, retroalimentacin de las partes
interesadas, observacin, pronsticos y juicios de expertos. No obstante, quienes toman las
decisiones deberan informarse y tener en cuenta todas las limitaciones de los datos o modelos
utilizados, as como las posibles divergencias entre expertos.
g) La gestin del riesgo se adapta
La gestin del riesgo se alinea con el contexto externo e interno de la organizacin y con el
perfil del riesgo.
10

h) La gestin del riesgo integra los factores humanos y culturales
La gestin del riesgo permite identificar las capacidades, las percepciones y las intenciones de
las personas externas e internas que pueden facilitar u obstruir el logro de los objetivos de la
organizacin.
i) La gestin del riesgo es transparente y participativa
El involucramiento apropiado y oportuno de las partes interesadas y, en particular, aquellos que
toman decisiones en todos los niveles de la organizacin, asegura que la gestin del riesgo se
mantenga pertinente y actualizada. El involucramiento tambin permite a las partes interesadas
estar correctamente representadas y que sus opiniones se consideren en la determinacin de
los criterios de riesgo.
j) La gestin del riesgo es dinmica, iterativa, y responde a los cambios
La gestin del riesgo est continuamente percibiendo los cambios y respondiendo a ellos.
Mientras ocurren eventos externos e internos, cambian el contexto y los conocimientos, se
realiza el monitoreo y la revisin de riesgos, surgen nuevos riesgos, algunos cambian y otros
desaparecen.
k) La gestin del riesgo facilita la mejora continua de la organizacin
Las organizaciones deberan desarrollar e implementar estrategias para mejorar su madurez en
la gestin del riesgo junto a los dems aspectos de la organizacin.
4.- Marco de Trabajo de la Norma NCh-ISO 31000:2012
El xito de la gestin de riesgos depender de la efectividad del marco para manejar los
riesgos, que provee las bases y fundamentos que traspasa la organizacin en todos sus
niveles. El marco colabora en la gestin efectiva de los riesgos, a travs de procesos de
administracin de riesgos en varios escenarios y contextos de la organizacin gubernamental.
El marco asegura que la informacin derivada de ese proceso sea adecuadamente comunicada
y se utilice como una base para la toma de decisiones por parte de la autoridad y para la
rendicin de cuentas o accountability de las mismas.
El marco de trabajo no pretende prescribir un sistema de gestin, sino ms bien ayudar a la
organizacin a integrar la gestin del riesgo en su sistema de gestin global. Por ello, las
organizaciones deberan adaptar los componentes del marco de trabajo a sus necesidades
especficas.
Si las prcticas y procesos de gestin existentes en una organizacin incluyen componentes de
gestin del riesgo, o si la organizacin ya ha adoptado un proceso formal de gestin del riesgo
para tipos o situaciones particulares de riesgo, entonces stos se deberan revisar y evaluar de
forma crtica de acuerdo con esta norma, a fin de determinar si la gestin de riesgos ha sido
adecuada y eficaz.
El marco describe los elementos necesarios para la gestin de riesgos y la forma cmo estos
componentes se interrelacionan entre s, como se seala en el cuadro N 1 a continuacin.
11

Cuadro N 1: Elementos del Marco de Trabajo de la Gestin del Riesgo
La descripcin de los elementos del marco de trabajo de la gestin del riesgo comprende:
4.1.- Mandato y Compromiso
La introduccin de la gestin del riesgo y el aseguramiento de su eficacia continua requieren un
compromiso fuerte y sostenido de la direccin de la organizacin gubernamental, as como
establecimiento de una planificacin estratgica y rigurosa para lograr el compromiso a todos
los niveles.
4.2.- Diseo del Marco de Trabajo de la Gestin del Riesgo
4.2.1.- Comprensin de la Organizacin y de su Contexto. Antes de iniciar el diseo y la
implementacin del marco de trabajo de la gestin del riesgo, es importante evaluar y entender
el contexto externo y el contexto interno de la organizacin, dado que ambos pueden influir
significativamente en el diseo del marco de trabajo.
4.2.2.- Establecimiento de la Poltica de Gestin del Riesgo. La poltica de gestin del
riesgo debera indicar claramente los objetivos y el compromiso de la organizacin en materia
de la gestin del riesgo.
12

4.2.3.- Obligacin de Rendir Cuentas (Accountability). La organizacin se debera asegurar
que la obligacin de rendir cuentas, la autoridad y las competencias apropiadas para gestionar
el riesgo estn establecidas, incluyendo la implementacin y la mantencin del proceso de
gestin del riesgo y asegurando la idoneidad, eficacia y eficiencia de todos los controles.
4.2.4.- Integracin en los Procesos de la Organizacin. La gestin del riesgo debera estar
integrada en todas las prcticas y procesos de la organizacin, de una manera que sea
pertinente, eficaz y eficiente. El proceso de gestin del riesgo debera formar parte de los
procesos de la organizacin, y no ser independiente de ellos. En particular, la gestin del riesgo
debera estar integrada en el desarrollo de la poltica, en la planificacin y revisin de la
actividad y la estrategia, y en los procesos de gestin de cambios.
4.2.5.- Recursos. La organizacin debera proporcionar los recursos adecuados para gestin
del riesgo.
4.2.6.- Establecimiento de los Mecanismos Internos de Comunicacin y de Reporte. La
organizacin debera establecer mecanismos internos de comunicacin y de reporte con objeto
de apoyar y fomentar la obligacin de rendir cuentas y la propiedad del riesgo.
4.2.7.- Establecimiento de los Mecanismos Externos de Comunicacin y de Reporte. La
organizacin debera desarrollar e implementar un plan para comunicarse con las partes
interesadas externas.
4.3.- Implementacin del Marco de Trabajo de la Gestin del Riesgo y del Proceso de
Gestin del Riesgo
4.3.1.- Implementacin del Marco de Trabajo de la Gestin del Riesgo. Para esta actividad
la organizacin debera:
Definir el calendario y la estrategia apropiados para la implementacin del marco de trabajo;

Aplicar la poltica y el proceso de gestin del riesgo a los procesos de la organizacin;
Cumplir los requisitos legales y reglamentarios;
Asegurar que la toma de decisiones, incluyendo el desarrollo y el establecimiento de los
objetivos, se alinean con los resultados de los procesos de gestin del riesgo;
Organizar sesiones de informacin y de entrenamiento; y
Comunicar y consultar a las partes interesadas para garantizar que su marco de trabajo de
la gestin del riesgo continua siendo apropiado.
4.3.2.- Implementacin del Proceso de Gestin del Riesgo. La gestin del riesgo se debera
implementar de manera que se asegure que el proceso de gestin del riesgo, se aplica
mediante un plan de gestin del riesgo en todos los niveles y funciones pertinentes de la
organizacin, como parte de sus prcticas y procesos.
4.4.- Monitoreo y Revisin del Marco de Trabajo
Con objeto de asegurar que la gestin del riesgo es eficaz y contribuye a ayudar al desempeo
de la organizacin sta debera:
Medir el desempeo de la gestin del riesgo respecto a los indicadores, que se revisan
peridicamente en cuanto a su idoneidad;
13

Medir peridicamente el progreso y las desviaciones respecto al plan de gestin del riesgo.
Revisar peridicamente si el marco de trabajo, la poltica y el plan de gestin del riesgo
siguen siendo apropiados, a la vista del contexto interno y externo de la organizacin;
Establecer informes sobre los riesgos, sobre el progreso del plan de gestin del riesgo y
sobre la forma en que se est siguiendo la poltica de gestin del riesgo; y
Revisar la eficacia del marco de trabajo de gestin del riesgo.
4.5.- Mejora Continua del Marco de Trabajo
En base a los resultados obtenidos del monitoreo y de las revisiones, se deberan tomar
decisiones sobre cmo mejorar el marco de trabajo, la poltica y el plan de gestin del riesgo.
Estas decisiones deberan conducir a mejoras en la gestin del riesgo por parte de la
organizacin, as como a mejoras de su cultura de gestin del riesgo.
5.- Fases Genricas en el Proceso de Gestin de Riesgos
Sin perjuicio que en la actualidad existen una serie de modelos para la gestin de riesgos de
mayor o menor difusin, el Consejo de Auditora ha decidido utilizar un modelo genrico, que
recoge en su mayor parte los elementos del Proceso de Gestin de Riesgos contenidos en la
Norma NCh-ISO 31000:2012, que en su desarrollo y mejora a travs del tiempo permita a las
organizaciones gubernamentales adecuarlo a otros ms especficos, si es que aquello fuese
necesario.
Las fases en que se desagrega dicho modelo genrico y que debern desarrollarse para
implementar el Proceso de Gestin de Riesgos en organizaciones gubernamentales, se
sealan a continuacin:
Establecimiento del Contexto: Definicin de los parmetros externos e internos a tener en

cuenta cuando se gestiona el riesgo, y se establecen el alcance y los criterios de riesgo
para la poltica de gestin del riesgo. Comprende establecer los contextos estratgico,
organizacional y de gestin en los cuales tendr lugar el Proceso de Gestin de Riesgos.
Deben establecerse los objetivos de la evaluacin del riesgo, los criterios contra los cuales
se evaluarn los riesgos, el programa de evaluacin del riesgo y definirse la estructura de
anlisis, los roles y responsabilidades.
Evaluacin del Riesgo: La evaluacin del riesgo es el proceso global de identificacin del
riesgo, de anlisis del riesgo y de valoracin del riesgo.
Identificacin del Riesgo: Proceso de bsqueda, reconocimiento y descripcin de
riesgos. Comprende identificar los riesgos que podran impedir, degradar o demorar
el cumplimiento de los objetivos estratgicos y operativos de la organizacin, as
como las oportunidades que puedan contribuir al logro de los referidos objetivos.
Anlisis del Riesgo: Proceso que permite comprender la naturaleza del riesgo y
determinar el nivel de riesgo. El anlisis del riesgo proporciona las bases para la
valoracin del riesgo y para tomar las decisiones relativas al tratamiento del riesgo.
El anlisis debera considerar el rango de consecuencias potenciales y cun
probable es que los riesgos puedan ocurrir. Consecuencia y probabilidad se
combinan para producir un nivel estimado de riesgo segn la definicin de la
14

organizacin. Adicionalmente se debe identificar y analizar los controles mitigantes
existentes.
Valoracin del Riesgo: Proceso de comparacin de los resultados del anlisis del
riesgo con los criterios de riesgo para determinar si el riesgo y/o su magnitud es
aceptable o tolerable. Comprende comparar los niveles de riesgo encontrados contra
los criterios de riesgo aceptado preestablecidos por la organizacin, considerando el
balance entre beneficios potenciales y resultados adversos. Ordenar y priorizar
mediante un ranking los riesgos analizados.
Tratamiento del Riesgo: Una vez completada la valuacin del riesgo, el tratamiento del
riesgo involucra la seleccin y el acuerdo para aplicar una o varias opciones pertinentes
para cambiar la probabilidad de que los riesgos ocurran, los efectos de los riesgos, o
ambas, y la implementacin de estas opciones. A continuacin de esto, sigue un proceso
crtico de reevaluacin del nuevo nivel de riesgo, con la intencin de determinar su
tolerancia con respecto a los criterios previamente establecidos, para decidir si se requiere
tratamiento adicional. De acuerdo al ranking de riesgos y al nivel de riesgo aceptado
preestablecido por la organizacin, definir su tratamiento y/o monitoreo, desarrollando e
implementando estrategias y planes de accin especficos, que mantengan el riesgo dentro
de los niveles aceptados por la organizacin.
Monitoreo y Revisin: Como parte del proceso de gestin del riesgo, los riesgos y los
controles se deben monitorear y revisar de manera regular. Comprende definir y utilizar
mecanismos para la verificacin, supervisin, observacin crtica o determinacin del
estado de los riesgos y controles con objeto de identificar de una manera continua los
cambios que se puedan producir en el nivel de desempeo requerido o esperado y dar
cuenta de la evolucin del nivel del riesgo en procesos crticos para la administracin.
Comunicacin y Consulta: Los procesos continuos e iterativos que realiza una

organizacin para proporcionar, compartir u obtener informacin y para comprometer el
dilogo con las partes interesadas en relacin con la gestin del riesgo. Comprende definir
y utilizar mecanismos para comunicar y consultar con los interesados internos y externos,
segn resulte apropiado en cada etapa del Proceso de Gestin de Riesgos. Dichos
mecanismos deben permitir a las autoridades tomar decisiones en forma oportuna respecto
de los riesgos con mayores desviaciones en relacin a los niveles aceptados.
15

A continuacin, en el cuadro N 2, se presenta un esquema representativo de la relacin entre
las fases genricas que componen un Proceso de Gestin de Riesgos, bajo la perspectiva que
se ha adoptado para su implementacin.
Cuadro N 2: Esquema representativo del Proceso de Gestin de Riesgos NCh-ISO
31000:2012
Si el lector requiere ahondar en la teora que sustenta la Gestin de Riesgos Corporativos,

puede acudir, entre otras, a las siguientes fuentes de informacin:
Norma NCh-ISO 31000:2012 - Principios y Directrices para la Gestin de Riesgos.

www.inn.cl.
Norma ISO 31000:2009 Risk management - Principles and Guidelines. www.iso.org.
Marco COSO ERM. www.erm.coso.org. y www.coso.org.
Estndar Australiano/Neozelands AS/NZS 4360:1999.
OCEG, Red Book GRC Capability Model. www.oceg.org.
16

VI.- CONCEPTOS Y ELEMENTOS A INCORPORAR PARA EL MARCO DE TRABAJO Y
PROCESO DE GESTIN DE RIESGOS EN LAS ORGANIZACIONES GUBERNAMENTALES
En los prrafos siguientes, se revisar cada una de las fases del Marco de Trabajo y del
Proceso de Gestin de Riesgos:
A. MARCO DE TRABAJO DE LA GESTIN DE RIESGOS
Desde el ao 2014, las actividades comprendidas en cada elemento del Marco de Trabajo de la
Gestin del Riesgo, se han venido implementando y actualizando en forma paralela y
complementaria con las actividades de implantacin del Proceso de Gestin de Riesgos
principalmente en base a la NCh-ISO 31000:2012. Lo anterior, es factible producto del nivel de
avance de las actividades y del actual estado de madurez que han alcanzado en su
funcionamiento los elementos y estructuras de gestin de riesgos que se han venido
implementando en base al Estndar Australiano/Neozelands AS/NZS 4360:1999 y a la Norma
Internacional ISO 31000:2009 en la administracin gubernamental desde el ao 2007.
Los elementos componentes del Marco de Trabajo de la Gestin del Riesgo fueron descritos en
este documento, en el punto V. N 4.- Marco de Trabajo de la Norma NCh-ISO 31000:2012.
B. MANTENCIN Y MEJORAMIENTO DEL PROCESO DE GESTIN DE RIESGOS
1.- FASE ESTABLECIMIENTO DEL CONTEXTO
En esta fase genrica, se contempla el establecimiento de los contextos estratgico,
organizacional y de gestin en los cuales tendr lugar el Proceso de Gestin de Riesgos.
Comprende el contexto interno, el externo y el contexto de gestin de riesgos.
1.1.- Contexto Interno y Externo
Para establecer el contexto organizacional o interno, es necesario comprender, entre otros, la
organizacin, su estructura interna, recursos humanos, filosofa y valores, polticas, misin,
metas, objetivos y estrategias para lograrlos.
Para establecer el contexto estratgico o externo, es necesario analizar el entorno en que
opera la organizacin, considerando aspectos tales como los financieros, operacionales,
competitivos, polticos, de imagen, sociales, culturales, legales, clientes y proveedores,
comunidad local y sociedad.
Como una fuente de informacin para el establecimiento del contexto interno y externo, se
sugiere utilizar como insumo los anlisis que se han realizado en la organizacin
gubernamental, en el marco del control de gestin, en las Definiciones Estratgicas (ver
Instrucciones para la Formulacin - Formulario A1 Ficha de Definiciones Estratgicas DIPRES),
ya que en ese mbito, se han examinado y definido la misin ministerial e institucional, visin,
ley orgnica, programas, ejes estratgicos, productos, clientes, indicadores, etc. Otros insumos
que pueden utilizarse son la Evaluacin Comprehensiva del Gasto, la Evaluacin de
Programas, la Evaluacin de Impacto, entre otros antecedentes.
En forma adicional, deben incorporarse en un Proceso de Gestin de Riesgos, una poltica de
gestin de riesgos, la definicin de roles y sus responsables y un diccionario de riesgos.
17

i) Establecer la Poltica de Gestin de Riesgos: Corresponde a la declaracin de las
intenciones y orientaciones globales de una organizacin en relacin con la gestin del
riesgo10. La poltica de riesgos se debe definir y documentar, aprobndose por la direccin y
debe contener al menos los siguientes elementos:
La razn fundamental de la organizacin gubernamental en materia de gestin del

riesgo (el objetivo o propsito de la gestin de riesgos).
Los enlaces entre los objetivos y las polticas de la organizacin y la poltica de la
gestin del riesgo.
Las obligaciones de rendir cuentas y las responsabilidades en materia de gestin del
riesgo.
La manera en la que se tratan los intereses que entran en conflicto.
El compromiso con el fin de tener disponibles los recursos necesarios para ayudar a
aquellos con la obligacin de rendir cuentas y responsables por la gestin del riesgo.
La manera en la que se mide e informa el desempeo de la gestin del riesgo.
El compromiso para revisar y mejorar la poltica de gestin del riesgo y el marco de
trabajo, peridicamente y como respuesta a un evento o a un cambio de las
circunstancias.
La Direccin debe asegurar que la poltica de riesgos se incluya y sea coherente con la poltica
de Calidad de la organizacin gubernamental, y que sea publicada y comunicada a travs de
todos los niveles de dicha organizacin, estableciendo responsables de las comunicaciones. En
Anexo N 1 se entrega un ejemplo de poltica de gestin de riesgos.
Acciones a Desarrollar Peridicamente
En esta fase debe definirse la poltica de gestin de riesgos y aprobarse por el Jefe de Servicio
mediante Resolucin. En el caso de estar dictada, debe revisarse, para determinar su
consistencia con las polticas y objetivos estratgicos de la organizacin gubernamental,
poniendo especial nfasis en que la poltica de riesgos considere todos los procesos que
ejecuta y que sea consistente con la poltica de calidad de la entidad.
ii) Establecer los Responsables y sus Roles: Se deben definir, documentar y aprobar los
roles de las personas relacionadas con las siguientes materias:
Iniciar acciones para prevenir o reducir los efectos de los riesgos.

Controlar el tratamiento de los riesgos.
Identificar y registrar cualquier problema relacionado con la gestin de los riesgos.
Iniciar, recomendar o proveer soluciones a travs de estrategias.
Verificar a travs del monitoreo la implementacin de las soluciones contenidas en las
estrategias.
En Anexo N 2, se presenta un ejemplo de asignacin de roles y responsabilidades.

Es importante sealar que el Auditor Interno de la organizacin gubernamental no puede ser
nombrado como responsable en estos temas, ya que se estara afectando su objetividad e
independencia al momento de auditar el funcionamiento y efectividad del Proceso de Gestin
de Riesgos (actividad de aseguramiento). En Anexo N 3 se entrega un resumen del rol de la
10
NCH-ISO GUIA 73:2012
18

auditora interna en un Proceso de Gestin de Riesgos, destacndose aquellas funciones que
puede realizar y aquellas que no le estn permitidas11.
La organizacin gubernamental deber definir los roles y las responsabilidades relacionados
con el Proceso de Gestin de Riesgos, por el Jefe de Servicio mediante Resolucin. Para ello
se debe tener en cuenta el tamao de la organizacin, su estructura y cultura organizacional, la
jerarqua y la disponibilidad del personal para asumir posiciones de coordinacin y/o
responsabilidad. En caso de existir una asignacin de roles y responsabilidades, sta debe
analizarse para determinar si responde en forma adecuada a los requerimientos del Proceso,
examinando la necesidad de modificar roles, crear o eliminar instancias, mejorar la definicin
de responsabilidades, entre otros elementos. Siempre es importante considerar en este anlisis
el cambio de lineamientos y directrices que experimente la organizacin gubernamental cuando
hay un cambio de Administracin, ya sea a nivel de la Jefatura de la misma organizacin o a
nivel de Gobierno.
iii) Establecer un Diccionario de Riesgos: A nivel terico y prctico se considera la
necesidad de formular un diccionario de riesgos para la entidad. En este caso, como se trata de
organizaciones gubernamentales, el diccionario de riesgos ha sido confeccionado y remitido
por el Consejo de Auditora Interna a todas las organizaciones del Sector Pblico para que lo
utilicen.
En general, siempre que sea necesario, la organizacin gubernamental puede incorporar
conceptos adicionales propios, a fin de hacer ms completo e ir actualizando el Diccionario de
Riesgos, sin perjuicio de las medidas complementarias que al respecto pudiera tomar el
Consejo de Auditora.
1.2.- Contexto de Gestin de Riesgo
Para establecer el contexto de gestin debe constituirse y definirse el alcance de aplicacin del
anlisis de riesgos.
De acuerdo al modelo metodolgico adoptado por el Consejo de Auditora, el Proceso de
Gestin de Riesgos debe aplicarse a nivel de procesos, desagregados en subprocesos, etapas,
actividades y riesgos especficos.
Dentro de la sealada desagregacin en procesos, subprocesos y etapas, se incorporan
conceptos como la clasificacin en procesos transversales en la Administracin del Estado, la
tipificacin de riesgos y la ponderacin porcentual de la importancia estratgica de los
subprocesos que componen los procesos en la organizacin, que tambin deben ser
incorporados dentro del contexto de la gestin de riesgos.
11
Se hace de acuerdo a la mirada del Instituto de Auditores Internos Global (IIA).
19

1.2.1.- Desagregacin de Procesos Crticos y Modelamiento de Riesgos
Para levantar informacin de los procesos, la tcnica a utilizar para documentar y estructurar el
trabajo corresponde a la desagregacin de la informacin de procesos crticos de la institucin
(al menos un 40% o cuyo porcentaje se informe oportunamente por el Consejo de Auditora) en
una Matriz de Riesgos Estratgica (Ver NCh-ISO 31010:2013 - Matriz de
Consecuencia/Probabilidad). Esta tcnica permite correlacionar la estructura desagregada de
un proceso (subprocesos, etapas y actividades) con los objetivos operativos, el nivel de riesgo,
el nivel de eficiencia de los controles claves mitigantes y, finalmente, con el nivel de exposicin
al riesgo. En general, el Proceso de Gestin de Riesgos se inicia con los procesos ms crticos
de la entidad, para ir amplindose a una mayor cobertura, de manera de considerar todos los
procesos que incidan en el logro de los objetivos de la organizacin gubernamental.
Esta tcnica tiene las siguientes ventajas:
Obliga al personal encargado a conocer e interactuar en forma integral con su

organizacin.
Permite construir la Matriz de Riesgos de la organizacin gubernamental de tipo global y
las matrices especficas para cada proceso relevante o materia especfica que se
requiera analizar.
Se genera una slida base para aplicar y documentar el Proceso de Gestin de
Riesgos.
Una vez identificados los procesos que desarrolla la organizacin gubernamental se
debe realizar la desagregacin de procesos y el modelamiento de los riesgos y los
controles.
i.- Metodologa
Paso N 1: Identificacin y Priorizacin de Procesos Crticos en la Institucin
Para efectos de este documento, se entender como proceso un conjunto de actividades
ntimamente interrelacionadas que existen para generar un bien o servicio, el cual tiene uno o
ms clientes y proveedores, internos y/o externos a la organizacin en que opera. Podemos
agregar a esta definicin, que aquellos identificados como claves para el logro de la misin
institucional a travs del cumplimiento de los objetivos estratgicos, sern los procesos crticos.
Es necesario reiterar que la identificacin de procesos, subprocesos y etapas es una labor que
las organizaciones gubernamentales deberan tener realizada y respaldada a travs de
documentos formales, tales como; bases tcnicas, trminos de referencia, reglamentos y
normativas internas de los programas y servicios que entregan las instituciones.
En caso que dichas estructuras estn implcitas en la documentacin o no estn formalizadas,
se debe analizar e identificar en conjunto con los ejecutivos y directivos responsables, la
estructura de los procesos. Con esa informacin se debe analizar la relacin entre la misin
objetivos estratgicos formales declarados y los procesos organizacionales, identificando para
cada proceso especfico, el nivel de contribucin que realiza a cada objetivo estratgico,
mediante la metodologa definida por el Consejo de Auditora.
20

Tal como se seal, hay que tener presente que muchos procesos inciden en forma indirecta
en el logro de los objetivos, ya que constituyen soporte para la realizacin de diversas acciones
de negocio, otros en cambio, inciden en forma directa. Debido a estas particularidades en la
organizacin, se ha estimado necesario formular un mtodo que permita distinguir entre el nivel
de contribucin o relevancia de cada uno de los procesos.
El nivel de contribucin que realiza un determinado proceso al cumplimiento de los objetivos
estratgicos de la organizacin gubernamental, ya sea un proceso relevante que desarrolla
esta organizacin tanto a nivel estratgico externo, con el objetivo de satisfacer a sus usuarios;
como a nivel interno, con la finalidad de definir el soporte administrativo de la labor de la
Institucin, se medir de acuerdo con la siguiente escala:
Escala para Medir el Nivel de Contribucin que Afecta el Cumplimiento del Objetivo
Estratgico
Clasificacin
del Nivel
Descripcin del Nivel de Contribucin
Valor
Alto
El proceso aporta de manera fundamental en el cumplimiento del

objetivo estratgico.
Medio
El proceso aporta de manera importante en el cumplimiento del

objetivo estratgico.
Bajo
El proceso aporta de manera menor en el cumplimiento del objetivo

estratgico.
Nulo
El proceso no aporta en el cumplimiento del objetivo estratgico.
A continuacin se presenta un esquema matricial que permite identificar los procesos crticos
de acuerdo con esta metodologa, al relacionar cada uno de los procesos de la organizacin
gubernamental con los objetivos estratgicos de la misma. El procedimiento especfico
corresponder al siguiente:
Una vez identificados todos los procesos que existen en la organizacin, se debe aplicar la
siguiente metodologa para determinar la priorizacin de los procesos en base a su nivel de
contribucin para todos los objetivos estratgicos. Anlisis que posteriormente servir para
determinar cules sern los procesos crticos que se les realizar el modelamiento de riesgos.
21

Esquema de Relacin y Priorizacin de Procesos Relevantes en la Institucin en
Relacin a los Objetivos Estratgicos
Misin Institucional: xxxxxxx
Objetivos
Procesos
institucionales
Proceso 1
Proceso 2
Proceso 3
...
Proceso n
Objetivo
Estratgico
1
Objetivo
Estratgico
2
Objetivo
Estratgico
...
Objetivo
Estratgico
n
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
..........
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
..........
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
..........
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
..........
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
Nivel
de
Contribucin
Promedio
del
Proceso
al
Cumplimiento de los
Objetivos
Proceso
seleccionado
(2,0 3,0)
Promedio Aritmtico
Proceso 1
Promedio Aritmtico
Proceso 2
Promedio Aritmtico
Proceso 3
..........
Promedio aritmtico
Proceso n
En el esquema anterior, se incluyen todos los procesos organizacionales y todos los objetivos
estratgicos de la organizacin gubernamental. Se analiza cada proceso en relacin con el
nivel en que aporta al cumplimiento de cada objetivo, pudiendo ser de nivel Alto, Medio, Bajo o
Nulo, de acuerdo con la escala anteriormente definida.
Finalmente, cuando se han relacionado todos los procesos con todos los objetivos estratgicos,
se calcula el promedio entre los niveles de contribucin individual entre procesos y objetivos,
obtenindose el nivel promedio por cada proceso. Por consiguiente, se contar con la
informacin necesaria para determinar si se seleccionar el proceso para el anlisis y
modelamiento de riesgos.
La seleccin final de cada proceso crtico estar basada en la misma escala para el nivel en
que afecta el cumplimiento del objetivo estratgico. Se deber escoger para el anlisis de
procesos crticos, los que presenten un nivel de contribucin promedio entre 2,0 y 3,0 puntos,
es decir, se seleccionarn los procesos claves que contribuyen desde un nivel importante a
fundamental en el cumplimiento de todos los objetivos estratgicos institucionales, o dicho de
otra forma, la relevancia de los procesos estar dada por el nivel de influencia o contribucin
que tiene cada proceso en el logro de los objetivos.
22

Ejemplo: Seleccin de procesos crticos en una organizacin que cuenta con tres objetivos
estratgicos:
Misin Institucional : xxxxxxxx
Objetivos
Procesos
institucionales
Abastecimiento
Financiero
Crediticio
Recursos Humanos
Comercializacin
Objetivo
Estratgico
1
Objetivo
Estratgico
2
Objetivo
Estratgico
3
Nivel de contribucin
promedio
del
proceso
al
cumplimiento de los
objetivos
Proceso
seleccionado
(2,0 3,0)
3
2
1
3
1
2
1
2
2
2
3
0
1
1
1
2,6
1,0
1,6
2,0
1,3
Para este ejemplo, se debe realizar el anlisis para los procesos crticos: Abastecimiento y
Recursos Humanos.
En todo caso, independiente de la clasificacin previamente explicada, la organizacin
gubernamental debe considerar en el reporte al CAIGG, el porcentaje mnimo (valor porcentual
mnimo) de procesos crticos que deben analizarse en la organizacin, que este Consejo
informe oportunamente.
Paso N 2: Identificacin de Subprocesos en los Procesos Crticos
Una vez seleccionados los procesos crticos, de acuerdo con la metodologa descrita, se deben
identificar los subprocesos que integran cada uno de ellos (depender de la estructura del
proceso y de las caractersticas organizacionales de la organizacin gubernamental). Los
subprocesos corresponden a aquellos componentes principales en el desarrollo de los
procesos. Al igual que los procesos, los subprocesos que los componen pueden ser de diversa
importancia y tener distinta influencia en la generacin de los productos o servicios.
Paso N 3: Identificacin de Etapas en cada Subproceso
Cuando sea posible seguir desagregando la estructura para anlisis dentro de cada
subproceso (depender de las caractersticas y estructura del proceso y de la organizacin,
entre otras variables), se deber identificar las etapas que lo conforman y que equivalen a las
acciones o actividades que en conjunto forman el subproceso.
Hay que destacar que existen casos en que la estructura de desagregacin mxima posible
ser el subproceso y en otros ser posible desagregar hasta el nivel de etapa que componen
los subprocesos. Esta variable de anlisis, tambin depender de la naturaleza y estructura de
cada organizacin gubernamental.
Una vez definido el ltimo nivel de desagregacin de cada proceso, se proceder a identificar
los objetivos operativos.
23

Paso N 4: Identificacin de Objetivos Operativos
Se entender por objetivos operativos, aquella meta o finalidad que se persigue cumplir
mediante la ejecucin de una etapa o mediante la ejecucin de un subproceso; si la
desagregacin fue slo a nivel de subproceso. Siempre hay que tener presente que los
objetivos del proceso, subproceso o etapa estn establecidas a travs de documentos formales
(bases administrativas o tcnicas, normas internas, programas, trminos de referencia, etc.) en
forma explcita o implcita, lo que implica una labor de estudio y anlisis de la documentacin
regulatoria y de soporte en los procesos.
Paso N 5: Identificacin de Riesgos Operativos Relevantes
Una vez identificados los objetivos operativos correspondientes a etapas o subprocesos
relevantes, segn sea la mxima desagregacin de los procesos donde se realizar el
levantamiento, es necesario identificar los riesgos relevantes que se presentan asociados a los
objetivos en cada proceso crtico o subproceso o etapa, entendiendo como tales a la
incertidumbre sobre los objetivos operativos, as como a la posibilidad (probabilidad) de que un
acontecimiento ocurra y afecte (consecuencia o impacto) negativamente a la consecucin total
o parcial de los objetivos operativos.
Luego de la identificacin del riesgo, se debe proceder a su medicin (nivel de severidad del
riesgo, de acuerdo con la escala presentada en el Anexo N 5 de este documento). Evaluando
en trminos de su probabilidad, como posibilidad de la ocurrencia del riesgo potencial y de su
impacto, como consecuencia que puede ocasionar a la organizacin la materializacin del
riesgo. Lo anterior nos va a entregar la severidad del riesgo y su clasificacin, de acuerdo a la
matriz de impacto y probabilidad que se expone ms adelante en este documento12.
Adicionalmente, debe calificarse la fuente y tipologa de los riesgos de acuerdo a lo sealado al
punto 1.2.4 de este documento.
Paso N 6: Reconocimiento y Levantamiento de los Controles Claves
El prximo paso consiste en el reconocimiento y levantamiento de los controles que tiene la
organizacin gubernamental y que se orientan a mitigar los riesgos operativos identificados. En
este punto, debe hacerse un anlisis de los controles relevando slo aquellos claves, cuyo
objetivo es la mitigacin de los riesgos. Deben clasificarse y calificarse los controles, de
acuerdo a su nivel de cumplimiento con los elementos de un control adecuado especificados en
el modelo y segn su oportunidad, periodicidad y automatizacin, utilizando para ello la
metodologa del Consejo de Auditora (tablas para valuacin se presentan en el Anexo N 5).
Luego, debe calcularse el nivel de exposicin al riesgo, que corresponde al nivel de riesgo una
vez considerada la calificacin de los controles. El nivel de exposicin al riesgo, se determinar
por riesgo, por etapa, por subproceso y por proceso (tablas para valuacin se presentan en el
Anexo N 5). Debe calcularse el riesgo ponderado por subproceso.
12
Una gua bsica para levantar procesos y los elementos que deben considerarse, se contiene en el Anexo N 4 de
este documento.
24

Paso N 7: Formulacin de la Matriz de Riesgos Estratgica
De la aplicacin de este procedimiento se obtendr como producto la Matriz de Riesgos
Estratgica de la organizacin gubernamental al momento del anlisis de los procesos crticos,
la que contendr los siguientes elementos:
Procesos crticos de la organizacin (previamente priorizados).

Identificacin de subprocesos componentes de los procesos crticos de la organizacin
y su ponderacin.
Identificacin de etapas en cada subproceso (si corresponde).
Identificacin de los objetivos operativos por etapa o subproceso.
Identificacin de todos los riesgos operativos relevantes.
Identificacin de la fuente del riesgo y su tipologa.
Valor y clasificacin de la severidad de los riesgos operativos.
Identificacin, valor y clasificacin de la efectividad de los controles mitigantes
asociados al riesgo operativo.
Valor de la exposicin al riesgo individual, por etapa, subproceso y proceso crtico.
Valor de la exposicin ponderada por subproceso.
Es importante destacar que la informacin recabada en la Matriz de Riesgos Estratgica de la

organizacin gubernamental, corresponde al momento en el cual se realiza este levantamiento
de informacin, y debe ser actualizada en forma peridica. Un ejemplo de levantamiento de
proceso, se establece en el Anexo N 6.
Para la desagregacin de procesos crticos y el modelamiento de riesgos, la organizacin
gubernamental debe:
a) Identificar los procesos que desempea la organizacin.
b) Priorizar los procesos crticos segn su nivel de contribucin al cumplimiento de los
Objetivos Estratgicos.
c) Clasificar los procesos entre los procesos transversales definidos en este Documento
Tcnico.
d) Identificar los subprocesos que componen los citados procesos crticos.
e) Ponderar los subprocesos en relacin a su importancia para el proceso crtico que
componen (Ver punto 3.1.2).
f) Identificar las etapas que componen los subprocesos del proceso crtico (si
corresponde).
g) Identificar los objetivos o finalidades que tienen cada una de las etapas o subprocesos,
segn corresponda. Esta informacin debe derivarse de documentacin formal de la
organizacin gubernamental, como reglamentos e instructivos o de informacin
emanada de los encargados de los procesos crticos.
h) Identificar los riesgos que pueden impedir o retrasar el logro de los objetivos de la etapa
o subproceso segn corresponda. Para esta identificacin se pueden utilizar diversas
herramientas como los talleres o la lluvia de ideas (Anexo N 7).
i) Clasificar los riesgos por tipo y origen definidos en este Documento Tcnico.
j) Valuar los riesgos en relacin a su probabilidad e impacto y a su nivel de severidad
(tablas consideradas en Anexo N 5).
25

k) Identificar los controles claves asociados a los riesgos identificados, respondiendo las
preguntas qu control se realiza?, cmo se realiza?, quin los realiza?, cundo o
en qu oportunidad se ejecuta el control?
l) Valuar los controles claves en relacin a la efectividad de su diseo.
m) Determinar la exposicin al riesgo por riesgo, etapa, subproceso y proceso, segn
corresponda.
En el caso de haberse trabajado en la implementacin de procesos de gestin de riesgos con
anterioridad en la organizacin gubernamental, es necesario revisar nuevamente la
desagregacin de procesos, y subprocesos, as como los objetivos, riesgos y controles,
determinando si esta desagregacin y la identificacin de riesgos y controles son adecuadas y
corresponde a la realidad de la entidad. Otro punto en los que debe tenerse especial
consideracin, son en los cambios que hayan enfrentado los lineamientos de la organizacin
gubernamental, considerando que las nuevas autoridades o nuevas funciones, en los casos
que as sean, aportarn nuevos enfoques y nfasis que hay que tener en cuenta en la Gestin
de Riesgos.
1.2.2.- Procesos Transversales en la Administracin del Estado
Los procesos transversales son procesos definidos a nivel global de acuerdo a sus objetivos y
productos finales. Dentro de ellos se agrupan los procesos especficos informados por las
organizaciones gubernamentales con distintas denominaciones, pero que responden a una
misma raz.
Para un adecuado Proceso de Gestin de Riesgos y el cumplimiento de la metodologa
contenida en este Documento Tcnico, las organizaciones gubernamentales, debern clasificar
sus procesos en las categoras de procesos transversales que se sealan en el siguiente
cuadro N 3.
Cuadro N 3: Clasificacin
Administracin del Estado
y Descripcin
Procesos Transversales
en la Administracin del
Estado
Subsidios
fomento
privados
de
Subsidios a privados social

Subsidios
asistencial
privados
Transferencias a/de otras

entidades pblicas
Servicios de atencin al
ciudadano contraprestacin
de
Procesos
Transversales
en
la
Descripcin
Procesos de Negocio
Se entienden aquellos cuyo objetivo es promover,
incentivos econmicos, que los particulares realicen por
actividades productivas.
Se entienden como tales los procesos cuyo objetivo es la
de ciertos objetivos sociales como la integracin, etc.
Consisten en procesos cuya finalidad es entregar
subsistencia a particulares.
mediante
s mismos
promocin
ayuda de
Son procesos en que, por ley o convenios, se entregan o reciben

recursos de otro organismo del Estado.
Procesos que se orienten a servir a todos los ciudadanos a travs de
la entrega de atencin, servicios o productos.
26

Estado
Servicios de atencin social/
previsional /salud
Crditos
prestamos
recuperacin
Almacenamiento y distribucin
Infraestructura
Asesora a infraestructura
Estudios para marco cultural
Estudios para regulaciones,
normativa y fijacin tarifaria
Administracin
de
bienes
estratgicos
Otorgamiento
y/o
reconocimiento de derechos
Estudios e investigaciones
Legal estratgico
Control de outsourcing
Seguridad y Control
Personas y/o Recintos
de
Seguridad del transporte
Calificacin ambiental
Produccin
materiales
de
bienes
Comercializacin
Coordinacin de Acciones de
Emergencia
Descripcin
Procesos que se orienten a prestar una atencin de salud,
previsional o social a personas que tengan ciertas calidades (Ej.:
pensionados pblicos, ancianos, personas de las fuerzas armadas,
etc.)
Se refiere a procesos de entrega de prstamos, incluyndose los
procesos de planificacin, ejecucin y cobranzas.
Procesos que consistan en bodegaje, mantenimiento de stock y
distribucin de materiales o bienes.
Procesos que se refieran a los bienes muebles e inmuebles de la
organizacin gubernamental que se utilizan para cumplimiento del rol
de la misma.
Procesos que impliquen estudios y acciones que apoyen decisiones
sobre la infraestructura.
Procesos de estudios culturales que releven las artes, literatura,
pintura y todo lo relacionado a temas culturales.
Procesos de estudios que sirvan o puedan servir de base para la
emisin de normativa, regulaciones, tarifas, etc.
Proceso a travs del cual la organizacin gestiona aquellos bienes
que son indispensables para el cumplimiento de su funcin; que son
de la esencia de su negocio.
En el caso de aquellas organizaciones que entregan derechos o
beneficios a personas naturales como ser parte de un registro,
derechos de aguas, etc.
Aquellos estudios cuyo sentido es investigar un tema econmico,
financiero, de mercado u otra situacin determinada importante para
la organizacin.
Desarrollo de acciones legales y/o judiciales como negocio de la
organizacin gubernamental.
Equivalen a la gestin y monitoreo de los contratos que externalizan
funciones propias de la organizacin gubernamental.
Proceso relacionado con seguridad que realizan determinados entes
del estado en relacin a las personas en distintas calidades:
victimas, imputados, reos, reclutas y la ciudadana en general. Esto
podra incluir operaciones de distinta naturaleza como vigilancia,
traslados, control u otros de ndole distinta, relacionados con la
seguridad.
Procesos relacionados con seguridad operacional y respuestas ante
situaciones de emergencias de los servicios de transporte terrestre,
martimo y areo, as como de las instalaciones portuarias y
aeroportuarias o de cualquier otra ndole, en donde exista trfico de
pasajeros o carga.
Procesos relacionados a anlisis, autorizaciones y permisos medio
ambientales.
Corresponde a aquellos procesos productivos que generan bienes
materiales como resultado
Procesos que desarrollan aquellas organizaciones gubernamentales
que venden productos y/o servicios a terceros.
Procesos asociados a la ejecucin y coordinacin de operaciones de
emergencia, gestin de recursos para emergencias, monitoreo y
27

Estado
Descripcin
anlisis de los diversos factores y elementos relacionados con

situaciones de emergencia o catstrofes.
Procesos Gerenciales o de Direccin Estratgica
Planificacin presupuestaria
Proceso anual que se realiza en la organizacin para programar la
presupuestacin de las diversas acciones que ejecuta.
Planificacin estratgica
Proceso que realiza la organizacin gubernamental en el que fija sus
objetivos, sus metas y la forma como las cumplir.
Coordinacin entre instancias Procesos que implican relaciones entre diversos niveles, personas o
entidades cuya organizacin y canalizacin son de responsabilidad
de la organizacin gubernamental.
Gobierno Electrnico
Procesos integrales para mejorar los servicios e informacin
ofrecidos a los ciudadanos, aumentar eficiencia y eficacia de la
gestin pblica e incrementar la transparencia del sector pblico y la
participacin de los ciudadanos a travs del uso de las tecnologas
de informacin y comunicaciones (TIC) .
Procesos de Inversin
Iniciativas de inversin
Todos los procesos de inversin considerados en el subttulo 31,
desde los estudios a la ejecucin.
Mercado financiero
Inversin en instrumentos financieros y de mercado accionario que
realizan algunas organizaciones gubernamentales autorizadas.
Procesos de Informacin
Sistemas
de
informacin Aquellos sistemas de informacin que entregan reportes y datos a
administrativos
los que puedan tener acceso terceros
Sistemas informticos
Soporte informtico interno de la organizacin gubernamental, que
comprende sistemas de informacin contable, financieros y
operativos que contienen datos internos de dicha organizacin.
Procesos de Control Operativo de los Recursos Pblicos
Fiscalizacin
Procesos a travs de los cuales las organizaciones gubernamentales
controlan a entes externos en el cumplimiento de normas y
estndares.
Evaluacin y control de
Proceso de control de substancias peligrosas.
substancias
Control de gestin
Proceso a travs del cual la organizacin controla el cumplimiento de
las metas, logros e indicadores que se ha definido en su
planificacin.
Procesos de Soporte
Financiero
Procesos contables, de tesorera, registro presupuestario, etc.
Legal
Asesora y apoyo jurdico dirigido al quehacer interno de la
Comunicaciones
Acciones de difusin y publicidad de los programas y acciones
desarrolladas por la organizacin gubernamental.
Adquisiciones
y Incluye la programacin de compra, licitacin, compra, recepcin y
abastecimiento
distribucin de los bienes y servicios adquiridos.
Recursos humanos
Incluye todos los procesos relacionados al personal, su capacitacin,
remuneraciones, feriados y bienestar.
Administracin/mantenimiento Procesos de gestin de los recursos materiales de la organizacin
recursos
gubernamental, inventario, baja y traslado.
Gestin documental
Procesos de administracin, direccin, manejo, registro, archivo y
almacenamiento
de
documentacin
de
la
organizacin
gubernamental, con o sin apoyo de sistemas informticos, referido
tanto a documentacin interna como externa de dicha organizacin.
28

Estado
Auditora Interna
Recursos materiales
Mejoramiento de la gestin
Descripcin
Proceso independiente y objetivo de aseguramiento y consulta,
concebida para agregar valor y mejorar las operaciones de una
organizacin. Se orienta a la prevencin y contempla actividades de
planificacin, programacin, ejecucin, informe y seguimiento.
Incluye todos los procesos relacionados a los bienes muebles o
races que utiliza la organizacin gubernamental para cumplimiento
de sus objetivos.
Entendiendo todos aquellos proceso relacionados al PMG, convenios
de desempeo y otros estmulos por metas.
Es necesario relevar que las organizaciones gubernamentales deben clasificar sus procesos
slo en una de las categoras antes definidas, basados en las caractersticas organizacionales
y en los objetivos de stos. Cuando existan dudas o diferencias respecto de la clasificacin de
uno o ms procesos dentro de la categora de procesos transversales, deber consultarse y
discutirse con el respectivo asesor de riesgos del Consejo de Auditora, para la creacin de un
nuevo proceso transversal, si fuese necesario.
Hay que tener presente que la clasificacin que se hace en procesos de soporte, gerenciales,
de negocio, entre otros, es slo genrica, ya que pueden existir organizaciones
gubernamentales cuyos procesos de negocio correspondan a los que generalmente para las
dems instituciones son de soporte, como los procesos de contabilidad, de seleccin de
recursos humanos, entre otros.
En el cuadro siguiente se entrega un ejemplo de dicha clasificacin.
Cuadro N 4: Ejemplo de Clasificacin de Procesos Crticos
Proceso Transversal
Proceso
Subproceso
Etapas
Objetivos
Crditos recuperacin de prstamos
Entrega de crditos de
fomento
Programa de beneficios
econmicos
para
mujeres emprendedoras
Subsidios
para
capacitacin
Entrega de bonos para
produccin de leche
Personal
Proceso
de
alerta
temprana
Compras
y
contrataciones
Subproceso 1
Subproceso 2
Etapa 1
.
.
.
---.
.
Subsidios a privados de fomento
Subsidios a privados social

Subsidios a privados de fomento
Recursos Humanos
Coordinacin de Acciones de
Emergencia
Adquisiciones y abastecimiento
1.2.3.- Ponderacin Estratgica por Subprocesos Componentes de Procesos Crticos

Considerando que no todos los subprocesos tienen la misma importancia estratgica dentro de
un proceso crtico, debe definirse por la direccin el peso relativo que cada subproceso tiene
dentro de un proceso crtico, esto atendiendo a la relevancia o importancia estratgica que
tiene cada subproceso en la consecucin exitosa de los objetivos de cada proceso crtico. Esta
29

ponderacin de los subprocesos debe ser justificada adecuadamente, considerndose para
esta labor algunas variables como las siguientes:
El impacto de la concrecin de los riesgos en el subproceso para el proceso y la

El grado de complejidad de las etapas que se identifican al interior del subproceso.
Especializacin del personal que se requiere para desarrollar las diversas etapas y
actividades del subproceso.
Los recursos involucrados y su cobertura regional.
El uso de sistemas de medios de informacin, entre otros.
Eficiencia de los sistemas de informacin del subproceso.
Competencia, aptitud e integridad del personal.
Nivel de sistemas computarizados de informacin.
Oportunidad y efectividad de los sistemas de control interno.
Cambios organizacionales, operacionales, tecnolgicos y econmicos.
Caractersticas de los usuarios, clientes y proveedores.
Complejidad y volatilidad de las actividades desarrolladas en el subproceso.
Cambios organizacionales, operacionales, tecnolgicos y econmicos producidos.
La ponderacin porcentual distribuida en todos los subprocesos componentes de un proceso

crtico, debe sumar 100%.
Cuando existan dudas o diferencias que surjan respecto de la ponderacin estratgica de los
subprocesos, deber consultarse y discutirse con el respectivo asesor o sectorialista del
Consejo de Auditora.
Para la adecuada implantacin, mantencin y actualizacin del Proceso de Gestin de Riesgos,
las organizaciones gubernamentales deben ponderar y/o revisar las ponderaciones anteriores,
considerando los siguientes puntos:
Todos los subprocesos identificados deben ponderarse.

La ponderacin de todos los subprocesos debe sumar cien por ciento (100%).
La ponderacin es reflejo de la importancia del proceso en el quehacer de la
organizacin gubernamental, de ello que los subprocesos que contribuyen a generar
productos estratgicos de dicha organizacin, deberan tener mayor ponderacin.
La justificacin debe fundamentarse en algn criterio de los antes mencionados. No
basta sealar en qu consiste el subproceso, ni tampoco es suficiente indicar que se
trata de un subproceso clave al interior de la organizacin gubernamental, sino que es
necesario sealar el porqu de su relevancia.
La ponderacin y su justificacin deben considerar la relevancia financiera y los
recursos que involucran los procesos identificados.
A continuacin en el cuadro N 5 se entrega, a modo de ejemplo, la ponderacin de

subprocesos componentes de un proceso crtico de una organizacin ficticia, con la justificacin
correspondiente:
30

Cuadro N 5: Ejemplo de Justificacin de la Ponderacin Estratgica de Subprocesos
componentes de un Proceso Crtico
Proceso
Crdito
de
fomento para
mujeres
microempresar
ias
Capacitacin
para los
negocios
Presupuesto y
Contabilidad
13
Descripcin
Se trata del proceso principal de la

organizacin gubernamental, que
cumple el objetivo estratgico de
entregar apoyo a las iniciativas de
la
mujer
microempresaria,
involucra sobre M$ 20.000, y se
orienta a usuarias en situacin
vulnerable, con ingresos anuales
inferiores a las 200 UF. Adems
es un instrumento para colaborar
con la recuperacin de las mujeres
microempresarias afectadas por el
terremoto
Se trata de un proceso importante,

ya que colabora al cumplimiento
del el objetivo estratgico de
entregar apoyo a las iniciativas de
la
mujer
microempresaria,
involucra un presupuesto superior
a M$ 3.000 y se dirige a mujeres
en situacin vulnerable con baja
escolaridad
Se trata de un proceso de soporte,

que colabora a la ejecucin de los
procesos
que
genera
los
productos estratgicos de la
organizacin gubernamental
Subprocesos
Postulacin
crdito
Evaluacin
crdito
Entrega crdito
Pond.
13
10%
30%
25%
Recuperacin
crdito
35%
Postulacin
20%
Capacitacin
50%
Evaluacin
30%
Planificacin
40%
Pagos
30%
Registro
30%
Justificacin de la ponderacin
La ponderacin baja considera que la postulacin
es una accin externa, propia de las usuarias.
Este subproceso es importante para el xito del

proceso por cuanto las deficiencias en la
evaluacin del crdito afectan la recuperacin del
mismo y la imagen de la organizacin
gubernamental, por otra parte se trata de una
labor altamente especializada, para la cual no
siempre se cuenta con personal idneo. Una mala
evaluacin puede dejar sin crdito a una mujer
que perdi su negocio en el sismo.
Su nivel de complejidad es medio, pero se le
pondera con este porcentaje puesto que una mala
entrega podra afectar a otros usuarios
beneficiarios de los incentivos.
La baja recuperacin repercute en el presupuesto
de la organizacin gubernamental, afectando
directamente a las otras usuarias y la imagen de
la organizacin, adems en la actualidad se hace
manualmente y los errores en su registro son
frecuentes.
Se trata de un beneficio conocido por la poblacin
objetivo, del cual se realiza difusin desde hace
seis aos con buena respuesta de las usuarias. El
personal tiene experiencia y se cuenta con un
sistema de informacin para el ingreso y
validacin de datos de los postulantes.
Se trata de cursos contratados en el mercado,

entregados por personal externo a la
organizacin, que debe ser monitoreado a fin que
entregue materias requeridas por las usuarias,
con un nivel comprensible para el pblico objetivo,
con la flexibilidad necesaria para mujeres y no
siempre se cuenta con personal adecuado y
recursos para la supervisin.
Es importante ya que es la forma de medir como
se ha recibido por las usuarias los contenidos de
los cursos y evaluar los resultados de los cursos.
No se cuenta con personal idneo en todas las
materias para hacer la evaluacin del curso y una
mala capacitacin afecta la imagen de la
Su importancia se debe a la complejidad de
realizar una planificacin adecuada con
antecedentes efectivos de los recursos que se
utilizarn en el ao.
Un pago mal realizado afecta la planificacin y el
registro, sin embargo, la adecuada planificacin
facilita el control de los pagos.
..
Porcentaje de Ponderacin Estratgica de los subprocesos en relacin con los objetivos del proceso.
31

1.2.4.- Tipologa de Riesgos
En el marco del levantamiento de procesos, debe utilizarse una tipologa o categorizacin de
riesgos. En estas categoras deben clasificarse los riesgos operativos que se identifiquen en la
prxima fase. La tipologa de riesgos, sirve para agrupar aquellos riesgos que tienen
caractersticas y elementos comunes.
En relacin a la fuente u origen de los riesgos, se puede sealar que existen riesgos de fuente
externa y riesgos de fuente interna14. Los riesgos de fuente externa, son aquellos que tienen su
origen en situaciones que estn fuera de la administracin y control de la organizacin
gubernamental, como los cambios polticos y sociales. Al contrario, son de fuente interna, los
que se originan al interior de la Organizacin, como los relacionados a las capacidades del
personal y a la efectividad de los sistemas de informacin.
En el cuadro N 6, se sealan ejemplos de los tipos de riesgos, considerando los elementos
que caracterizan a cada uno. Es necesario indicar que la clasificacin propuesta es una
adaptacin de la establecida en el Marco COSO ERM, que se ha modificado para ser aplicada
en la metodologa de Gestin de Riesgos emitida por el Consejo de Auditora.
Cuadro N 6: Ejemplos de Tipificacin de Riesgos
Tipos de Riesgos
Elementos que los

Caracteriza
Financieros
Se relacionan con el uso

adecuado de los recursos
entregados por el Estado a
sus organizaciones
Econmicos
Se
relacionan
con
elementos
financieros,
comerciales
y
presupuestarios
Ejemplos de Riesgos Especficos

-
Sociales
Tecnolgicos
14
Se
relacionan
con
elementos de comunidad
social, cultural, demogrfica,
comportamientos sociales.
Acerca de las tecnologas

de la informacin como
concepto y los cambios que
producen a nivel global en el
sector o la Organizacin
Cfr. COSO II. Gestin de Riesgos Corporativos.
32
Mal uso de los recursos

Desviacin de recursos
Entrega de recursos a no beneficiarios
Malversacin de fondos
Uso de recursos con fines distintos a los aprobados
Falta de disponibilidad presupuestaria
Modificaciones
presupuestarias
por
deficiente
ejecucin
Errores en el servicio de la deuda
Servicio de la deuda muy alto
Exceso de compromisos de la Organizacin
Gubernamental que afecten su presupuesto
Malas inversiones en mercado de capitales
Deficiencias en la ejecucin presupuestaria de la
Organizacin Gubernamental
Falta de Suplementos del Ministerio de Hacienda o
falta de oportunidad en los mismos.
Deficiente comportamiento de usuarios (bajo
compromiso, bajo cumplimiento, etc.)
Problemas con los datos personales y privados de los
clientes o proveedores
Falta de responsabilidad social de la Organizacin
Gubernamental o excesivamente gravosa
Cambios culturales en los usuarios de la Organizacin
Gubernamental (bajo inters, dificultades para aplicar
polticas, etc.)
Interrupcin de servicios
Complejidades del Comercio Electrnico gravosas
para la Organizacin Gubernamental
Complejidades y requisitos del Gobierno Electrnico
Falta de cumplimiento de las obligaciones emanadas
Tipos de Riesgos
Elementos que los

Caracteriza
Gubernamental
-
Estratgicos
Aspectos claves para el

desarrollo
de
la
Organizacin
Gubernamental, que se
relaciona con decisiones
superiores y poltica de
Gobierno
Medioambientales
Procesos
Legal
Personas
Aspectos que afectan la

calidad del medioambiente,
sean ocasionados por el
hombre o la naturaleza
Elementos
que
se
relacionan con los distintos
aspectos de los procesos
que
desarrolla
la
Organizacin
Gubernamental; como el
diseo, la ejecucin, la
supervisin y los clientes
Aspectos de cumplimiento y
de conformidad del actuar
de
la
Organizacin
Gubernamental
con
la
normativa pblica general y
especfica aplicable a sta.
Aspectos relacionados al
personal de la Organizacin
Gubernamental, desde su
ingreso hasta su egreso del
mismo.
Imagen
Aspectos relacionados con

el perfil de la Organizacin
Gubernamental
y
la
reputacin social del mismo.
Percepcin de la comunidad
del
actuar
de
la
Organizacin
Gubernamental
Sistemas
Relacionado
con
los
sistemas de informacin de
la
Organizacin
Gubernamental,
las
tecnologas que posee y los
datos que maneja.
33
del Gobierno Electrnico

Falta de confiabilidad de los datos externos
Desactualizacin de la Organizacin Gubernamental
debido a las tecnologas emergentes
Falta de poder adquisitivo de la Organizacin
Gubernamental frente a las nuevas tecnologas.
Falta de planificacin en los cambios de gobierno
Deficiencias en el conocimiento, comprensin y
aplicacin de las polticas pblicas por parte de la
Organizacin Gubernamental
Nuevas regulaciones y tarifas dificultan el quehacer
institucional o lo hacen ms gravoso
Falta de cumplimiento normativo en las emisiones y
residuos
Dificultades con el uso de la energa
Situaciones producidas por catstrofes naturales
Falta de garantas de desarrollo sustentable
Malas decisiones de impacto medioambiental
Deficiencias en el diseo del proceso
Ejecucin errnea de los procesos
Ejecucin inoportuna de los procesos
Falta de supervisin
Falta de responsables de ejecutar la supervisin y
monitoreo
Falta de medidas adoptadas ante la supervisin, o se
adoptan medidas que no son adecuadas
Falta de cumplimiento o deficiencias en el mismo por
parte de los clientes
Falta de actualizacin por cambios en la legislacin
Aumento de los requerimientos por cambio de
legislacin
Falta de cumplimiento de normas por deficiencias en
las mismas (normas oscuras o contradictorias, vacos
legales)
Falta de capacidad del personal
Personal sin capacitacin
Actividad fraudulenta del personal
Deficiencias en la seguridad e higiene y en el
ambiente
de
trabajo
de
la
Organizacin
Gubernamental.
Deficiencias en el cumplimiento de normas de
personal (dotacin, escalafn, etc.)
Escndalos
Corrupcin
Incumplimiento de las funciones de la Organizacin
Gubernamental
Disconformidad de los usuarios
Mal uso de recursos
Falta de integridad y confiabilidad de datos

Falta de disponibilidad de datos y sistemas
Deficiencias en la seleccin de sistemas
Deficiencias en el desarrollo y despliegue de los
sistemas
Deficiencias en el mantenimiento
Falta de interoperabilidad de los sistemas
Tipos de Riesgos
Elementos que los

Caracteriza
Bienes muebles e
inmuebles
Se
relacionan
con
elementos asociados a los
recursos
materiales
muebles o bienes races
que utiliza la Organizacin
Gubernamental
para
el
cumplimiento
de
sus
objetivos institucionales.

-
Excesiva antigedad de los bienes

Difciles condiciones de proteccin de los bienes
Vulnerabilidad de los bienes ante el uso o ante
elementos externos que aceleran su deterioro
Incumplimiento o falta de planes de proteccin y
resguardo de bienes
Desaparicin fsica de bienes, el deterioro de los
bienes que imposibiliten cumplir su funcin
Mal uso de los bienes o en forma distinta a su
naturaleza

la organizacin gubernamental debe calificar los riesgos identificados de acuerdo a esta
tipologa de riesgos. La definicin de estos criterios debe ser aplicada en la siguiente Fase de
Identificacin del Riesgo. La clasificacin y/o la revisin de las tipologas de riesgo deben tener
en consideracin los siguientes puntos:
Todos los riesgos deben tener asignado slo una fuente, interna o externa, de acuerdo
con el origen que sea ms relevante para el riesgo.
Todos los riesgos deben clasificarse slo en una tipologa.
Las tipologas deben asignarse de acuerdo a donde se originan los riesgos no segn
sus consecuencias. Por ejemplo, si se incumple la normativa de Gobierno Electrnico y
ello afecta a los usuarios en la accesibilidad y disponibilidad, este hecho afectar la
imagen de la entidad, pero se trata de un riesgo de tipo tecnolgico.
Cuando existan dudas o diferencias que surjan en la tipificacin de los riesgos especficos,
stas debern consultarse y discutirse con el respectivo asesor de riesgos del Consejo de
Auditora.
2.- FASE IDENTIFICACIN DE RIESGOS
La metodologa del Consejo de Auditora, considera la identificacin, anlisis y valoracin de
riesgos y oportunidades que pueden afectar la consecucin de los objetivos estratgicos de la
organizacin gubernamental. Las oportunidades y riesgos, son eventos, que se definen como
un incidente que emana de fuentes internas o externas que afectan la implementacin de la
estrategia o logro de los objetivos.
Los eventos pueden generar impactos positivos o negativos, o ambos. Los impactos positivos,
se denominan oportunidades, y los negativos son conocidos como riesgos.15 El riesgo es el
efecto de la incertidumbre sobre el objetivo.16
Como puede apreciarse, la identificacin de eventos consta de dos aspectos, oportunidades y
riesgos.
15
De acuerdo a COSO II, los eventos son todas aquellas circunstancias que pueden afectar la consecucin de los
objetivos estratgicos de una organizacin. Las que lo afectan en forma positiva se denominan oportunidades y las
que afectan en forma negativa, se denominan riesgos.
16
NCh-ISO 31000:2012.
34

2.1.- Identificacin de Oportunidades
Un aspecto importante a considerar al identificar oportunidades, es la existencia de eventos
que pueden producir efectos negativos y positivos a la vez, por ejemplo, la prioridad que le da
el Gobierno a ciertos programas, produce el efecto positivo de tener mayores recursos y mayor
apoyo para desarrollarlos, pero a la vez podra eventualmente producir una mayor exposicin
de los mismos a la opinin pblica.
La identificacin de oportunidades es de vital importancia para retroalimentar las estrategias en
la organizacin, siendo tambin relevante para orientar el tratamiento de los riesgos, por lo que
stas deben ser conocidas y evaluadas oportunamente por la direccin de la organizacin
gubernamental.
A continuacin, en el cuadro N 7 se entrega un ejemplo de identificacin de oportunidades a
travs de eventos.
Cuadro N 7: Ejemplo de Identificacin de Oportunidades por Proceso
Entidad
Misin
Procesos
Sistema Crediticio
de Fomento
Servicio Apoyo
al Microcrdito
(ficticio).
Entregar apoyo
crediticio de
fomento a
grupos
vulnerables, de
mujeres y
jvenes.
Apoyo a la
Capacitacin
Recursos
Humanos
Sistemas de
Informacin
Contabilidad y
Presupuesto
Eventos/Oportunidades
Est dentro de los lineamientos del nuevo Gobierno.
Cambios sociales que apuntan a un papel protagnico de la
mujer.
La mujer estadsticamente es ms cumplidora y responsable con
sus deudas y compromisos.
Se han aumentado los fondos para apoyar a microempresarias
afectadas por el terremoto
La mujer en general, es responsable en asistencia a los cursos.
Los jvenes reclaman alternativas de mejoramiento.
En los ltimos aos ha existido una gran demanda por
capacitacin.
Existen muchos organismos tcnicos en el mercado que ofrecen
diversas alternativas.
El presupuesto de este ao contempla ms recursos que el ao
anterior para este proceso.
..
..
..

se debe identificar oportunidades a nivel global de procesos de negocio. Es importante la
realizacin de esta actividad, puesto que las oportunidades sirven a la institucin para
retroalimentar las estrategias, en especial para incorporar los nuevos nfasis de Gobierno.
35

2.2.- Identificacin del Riesgo
La identificacin de los eventos que puedan afectar negativamente el cumplimiento de los
objetivos es fundamental en un Proceso de Gestin de Riesgos. En el Anexo N 7 se
acompaan ejemplos de tcnicas de identificacin de eventos generadores de riesgos y
oportunidades.
la organizacin gubernamental debe identificar los riesgos o revisar y mejorar su identificacin
de riesgos, poniendo especial nfasis en los siguientes puntos:
Identificar o actualizar los riesgos, considerando los cambios normativos,

presupuestarios o de los lineamientos del Gobierno o direccin, en especial los nuevos
enfoques y nfasis de Gobierno y de los jefes de la organizacin gubernamental u otras
autoridades.
Identificar en la forma ms completa y desagregada posible los riesgos que se
relacionan a una etapa dentro de un proceso. Para ello se sugiere examinar las
actividades al interior de las etapas, identificando los riesgos que se asocian a dichas
actividades.
Identificar en forma prioritaria los riesgos asociados con aspectos econmicos y
financieros, considerando los recursos involucrados en los procesos y subprocesos.
Considerar que una etapa puede tener, y en general es as, ms de un riesgo.
Considerar que una buena y completa descripcin del objetivo operativo de la etapa
facilita la identificacin de riesgos.
Por otra parte, en la identificacin y revisin de los controles que se asocian a los riesgos, se
sugiere:
Identificar controles claves (ver definicin en el Anexo N 9). Para ello, es necesario
establecer la definicin del control clave con un breve detalle de las actividades del
control realizado.
Mejorar la descripcin de los controles, sealando la norma o gua que lo instruye, quin
lo realiza, qu actividades desarrolla, cmo las ejecuta y cundo y cmo se evidencia su
cumplimiento (registros documentales o electrnicos en el sistema).
Analizar si est documentado, esto es, formalizado por escrito.
Analizar si existe segregacin de funciones, esto es, si la persona que autoriza es
distinta a la que ejecuta.
En base a la descripcin del control realizado, clasificar en forma consistente la
efectividad del diseo, es decir, su periodicidad, oportunidad y automatizacin.
Considerar que los controles claves que se identifican deben estar directamente
relacionados con el riesgo que tericamente mitigan.
36

2.2.1.- Aplicacin de la Tipologa de Riesgos: Junto con identificar los riesgos, es importante
clasificarlos segn la tipologa genrica formulada en la fase de establecimiento del contexto
estratgico, considerando las categoras de riesgos a los que se pueden ver expuestas las
entidades.
se debe sealar, de acuerdo a la tipologa entregada, a qu tipo genrico de riesgo
corresponde el riesgo operativo determinado y cul es su fuente (externa o interna), como se
seala a continuacin en el ejemplo del cuadro N 8. Lo anterior implica poner un especial
cuidado en dilucidar si el riesgo identificado, tiene su origen al interior de la entidad, por lo tanto
es manejable por sta, o si, en caso contrario se origina externamente y slo pueden tomarse
acciones paliativas que afecten indirectamente el riesgo. Por ejemplo, cuando se trata de
decisiones que son de responsabilidad de otras reparticiones del Estado, tales como la
Direccin de Presupuestos (modificaciones presupuestarias), Ministerio de Planificacin (RS
de inversiones), entre otros casos.
Cuadro N 8: Ejemplo de Clasificacin de Riesgos de Acuerdo a su Tipologa
Proceso
Transversal
Proceso
Subproceso
Pond.
Etapas
Objetivos
Recuperar
oportunamente
crditos
Riesgos especficos
los
Cobranza
Contar
garantas
crditos
Crditos
Recuperacin
de prstamos
Crditos
de
fomento a
mujeres
microempr
esarias
Recuperaci
n del crdito
Falta de garantas
Ingreso
inoportuno
incompleto de pagos
25%
Ingreso
fondos
recuperados
de
con
los
Falta
de
acciones
oportunas de cobranza
Insolvencia
de
los
deudores
Ingresar los fondos

recuperados
en
forma oportuna y
completa
Errores en la digitacin de
los montos
Problemas
en
la
transformacin
de
la
informacin del sistema
de
la
Organizacin
Gubernamental al SIGFE
Fuente de
Riesgos
Tipo de
riesgo
Prob.
Cons.
Interna
Procesos
Externa
Econmico
Interna
Procesos
Interna
Personas
Interna
Personas
Interna
Tecnolgico
Se deber revisar la clasificacin de los riesgos realizada de acuerdo a la tipologa desplegada

en el cuadro N 6 anterior, prestando especial atencin a dos puntos especficos:
a) Los riesgos deben ser clasificados segn su fuente como externos o internos. Para ello
debe estarse principalmente al origen del riesgo, esto es a su causa. Por ejemplo, un
riesgo relacionado con la mala calidad de los datos e informacin de la organizacin
gubernamental, es un riesgo de origen interno, independientemente que la
administracin del sistema de informacin se haya externalizado, ya que el riesgo parte
de una debilidad interna. En cualquier caso, debe clasificarse slo en una fuente, no
siendo vlido un riesgo interno/externo, debiendo optarse por aquella fuente que tenga
mayor importancia en el origen del riesgo.
b) Los riesgos deben ser clasificados slo en una de las tipologas definidas en esta gua
tcnica. Para ello, debe considerarse principalmente la causa del mismo. Por ejemplo, si
se identifica un riesgo de corrupcin o de falta de probidad en el personal, nos
37

encontramos con un riesgo que se clasifica en la tipologa personas an cuando sus
consecuencias afectan tambin a la imagen de la organizacin gubernamental.
Cuando existan dudas o diferencias que surjan en la tipificacin de los riesgos especficos,
deber consultarse y discutirse con el respectivo asesor de riesgos del Consejo de Auditora.
3.- FASE ANLISIS DE RIESGOS
3.1.- Anlisis General de Riesgos
Las Organizaciones Gubernamentales despus de desarrollar la identificacin de riesgos
operativos, deben analizarlos, examinando los riesgos en relacin a su probabilidad y
consecuencias. A su vez, los controles deben ser analizados en trminos de efectividad, para
finalmente identificar el nivel de exposicin al riesgo por proceso, subproceso, etapa y riesgo
especfico.
Existen dos elementos que deben considerarse en esta fase:
3.1.1.- Anlisis de los Riesgos: Las Organizaciones Gubernamentales debern poner al da
su anlisis de riesgos, en base a los criterios definidos en este Documento Tcnico,
actualizando la Matriz de Riesgos Estratgica de la organizacin gubernamental
y
considerando en forma especial todos aquellos procesos nuevos que desarrolle la
organizacin, con sus respectivos riesgos y controles, analizando especialmente los riesgos
nuevos y los nuevos nfasis de Gobierno que han definido los Jefes de Servicio y otras
autoridades.
la organizacin gubernamental debe analizar los riesgos y oportunidades, poniendo especial
nfasis en los siguientes puntos:
Analizar y/o actualizar los riesgos y su calificacin de probabilidad e impacto, de

acuerdo a las ltimas auditoras, los antecedentes histricos que se tengan y a los
cambios que hayan afectado a la institucin (modificaciones presupuestarias, nuevos
objetivos, eliminacin de programas, cambios en las polticas gubernamentales,
modificaciones en la orientacin y lineamientos de la direccin, entre otras situaciones).
Analizar y/o actualizar los riesgos, con especial nfasis en los riesgos asociados con
aspectos estratgicos y financieros, considerando los recursos involucrados en los
procesos y subprocesos y el uso de los mismos.
Considerar la retroalimentacin de la auditora interna, ya sea a travs de las auditorias
de aseguramiento y seguimiento del Proceso de Gestin de Riesgos, as como las
auditoras a los diversos procesos de la organizacin gubernamental.
Analizar y/o actualizar los riesgos de Gobierno Electrnico, analizando qu procesos
han sido mejorados con TIC y cmo ello influye en su desarrollo, teniendo en
consideracin que muchas veces el mejoramiento de las TIC se realiza en etapas o
actividades del proceso, pero su influencia e impacto irradia la totalidad del mismo.
Analizar y/o actualizar los riesgos de la organizacin gubernamental, considerando los
nuevos enfoques y lineamientos del Gobierno, as como los cambios que experimentan
los riesgos identificados en aos anteriores.
38
Relacionar adecuadamente los riesgos con el objetivo de la etapa. Esto implica que la
concrecin de un riesgo debe afectar el cumplimiento o logro de la etapa en forma
directa, de tal manera que los riesgos identificados impidan o dificulten el resultado
esperado por la organizacin gubernamental al desarrollar esa etapa.
Analizar y/o actualizar la descripcin de los controles de acuerdo a los resultados de las
auditoras realizadas, los antecedentes histricos que se tengan y a los cambios que
hayan afectado a la organizacin gubernamental (modificaciones presupuestarias,
nuevos objetivos, eliminacin de programas, entre otras situaciones); determinando si
estos controles estn documentados y si existe segregacin de funciones. Ver Anexo N
9.
Describir y analizar los controles claves que mitigan los riesgos despus de un anlisis
profundo de los mismos, detallando qu se hace, cmo se hace, quin lo hace y
cundo lo hace. Por ejemplo: Se realiza una visacin de los contratos de mutuo (qu
se hace) a travs de comparar una muestra de al menos 30% de los contratos firmados
con las resoluciones y la informacin del sistema (cmo se hace); dicha labor se realiza
por el Jefe de la Divisin de Crditos (quin lo hace) en forma semestral (cundo lo
hace) emitiendo un reporte al Jefe de Servicio (cmo se hace).
Ajustar las exposiciones al riesgo de acuerdo a las actualizaciones realizadas a los
riesgos y controles.
3.1.2.- Incorporacin del Concepto de Ponderacin Estratgica: Debe aplicarse el concepto

de ponderacin estratgica a nivel de subproceso para cada proceso crtico. En efecto, para
determinar el nivel de exposicin al riesgo ponderada de los subprocesos, deber multiplicarse
el nivel de exposicin al riesgo de cada subproceso17 por el porcentaje de ponderacin
estratgica que a cada uno de ellos le fue asignado, de la forma que se explica en el cuadro a
continuacin:
Cuadro N 9: Ejemplo de Ponderacin Estratgica por Subprocesos
Proceso
Transversal
Proceso
Proceso
Transversal
1
Proceso
1
Proceso
Transversal
2
Proceso
2
Proceso
Transversal
3
Proceso
3
Subproceso
Subproceso
1
Subproceso
2
Subproceso
3
Subproceso
4
Subproceso
5
Subproceso
6
Pond.
18
70%
30%
60%
40%
50%
50%
Nivel de Exposicin al Riesgo

Ponderada
Nivel de Exposicin al Riesgo

Etapas
Etapa 1
Etapa 2
Etapa 3
Etapa 4
Etapa 5
Etapa 6
Etapa 7
Etapa 8
Etapa 9
Etapa 10
Riesgo
Especfico
3
3
3
2
5
2
2
6
2
2
Etapa 11
Etapa 12
Etapa 13
2
4
4
Etapa
3
3
3
2
5
2
2
6
2
2
2
4
4
Subproceso
3
Proceso
2,8
2,5 x 30% = 0,75
2,5
3,5
Subproceso
3 x 70% = 2,1
3,8
3,5 x 60% = 2,1

4 x 40% = 1,6
2 x 50% = 1
2
2,7
3,3
3,3 x 50% = 1,65
Del cuadro N 9, es posible apreciar que la ponderacin estratgica releva la importancia del
proceso en el contexto de la Institucin y del subproceso en el contexto del proceso, acercando
el resultado a la posicin y relevancia de stos.
17
Nivel determinado en base a las escalas definidas en el Anexo N 5 de este documento.
39

la organizacin gubernamental debe definir las ponderaciones o revisarlas y mejorarlas, de
acuerdo a lo sealado en el punto 1.2.3 de este documento, teniendo presente que los cambios
de polticas de Gobierno, las modificaciones presupuestarias y la orientacin en los
lineamientos de la Direccin, las afectan directamente. En especial, debe considerarse el
enfoque de los directivos y la relacin de los procesos con el cumplimiento de la misin
institucional de la organizacin gubernamental y los recursos financieros involucrados.
4- FASE VALORACIN DE RIESGOS
La Fase de Valoracin de los Riesgos considera dos pasos. Primero la definicin y
confirmacin del criterio que se escoger (definido en la Fase de Definicin del Contexto de la
Gestin de Riesgos) y segundo la confeccin de un ranking de riesgos en la organizacin.
4.1.- Definicin y Confirmacin de Criterios
En el caso de los Procesos se utilizar como criterio para la confeccin del Ranking, el nivel de
exposicin al riesgo de los mismos. En cuanto a los subprocesos, se utilizar el criterio
asociado al nivel de exposicin al riesgo ponderada, esto es, el riesgo residual que subsiste
despus de aplicados todos los controles claves existentes. Para un adecuado desarrollo del
Proceso de Gestin de Riesgos, el nivel de exposicin al riesgo debe considerar la ponderacin
estratgica de subprocesos, de acuerdo a lo sealado en los prrafos anteriores. Esto implica
que el criterio considerado para la evaluacin del riesgo es el de exposicin al riesgo
ponderada para los subprocesos (exposicin al riesgo x ponderacin estratgica). Esta
evaluacin se determina considerando los niveles de exposicin al riesgo de las etapas de
acuerdo al promedio aritmtico de los riesgos especficos de contiene cada una de las etapas
del Subproceso.
En el cuadro N 10 que se presenta a continuacin, se muestra la relacin entre los distintos
componentes del anlisis de riesgos.
Cuadro N 10: Relacin entre Severidad del Riesgo y Exposicin al Riesgo
SEVERIDAD DEL
RIESGO
(Probabilidad X
Consecuencias)
EXPOSICIN AL
RIESGO
(Severidad del Riesgo/
Efectividad del Control)
Los riesgos sin los

efectos mitigadores del
control
Nivel del Riesgo

Residual determinado
despus de aplicados los
controles existentes
Controles existentes para mitigar

la Severidad del Riesgo
EFECTIVIDAD DEL CONTROL
40

4.2.- Ranking de Riesgos
Basado en la informacin contenida en la Matriz de Riesgos Estratgica de la organizacin
gubernamental construida en las fases anteriores del proceso, se debe evaluar en cules
mbitos organizacionales se requiere actuar en forma prioritaria (procesos, subprocesos y
etapas).
Para dar cumplimiento a esta tarea, la organizacin debe construir un Ranking de Riesgos en
base al nivel de exposicin al riesgo para los procesos crticos (promedio aritmtico de la
exposicin al riesgo de los subprocesos) y en base al nivel de exposicin al riesgo ponderado
para los subprocesos que componen dichos procesos:
a.- Ranking de Procesos por Nivel de Exposicin al Riesgo
En el cuadro N 11 se presenta el esquema del anlisis a realizar para un proceso crtico que
fue desagregado hasta el nivel de riesgo operativo.
Cuadro N 11: Ejemplo de Ranking de Procesos por Nivel de Exposicin al Riesgo
Procesos
Nivel de Exposicin al
Riesgo
Ranking para priorizar

estrategias de tratamiento
de los riesgos en los
Procesos Crticos
4,0
3,5
3,0
.
1
2
3
.
Entrega Crditos
Capacitacin
Contabilidad y Presupuesto
De lo anterior, se deduce que la organizacin gubernamental comenzar a definir y aplicar

estrategias para efectuar el tratamiento de los riesgos asociados al proceso con mayor nivel en
el ranking, es decir, en el ejemplo comenzar por el Proceso de Entrega de Crditos, seguir
con el de Capacitacin y as sucesivamente.
b.- Ranking de Subprocesos por Nivel de Exposicin al Riesgo Ponderado (ponderacin
estratgica)
Una vez identificados los procesos crticos dnde se aplicarn primero las estrategias para
tratar los riesgos, se deben identificar en base al nivel de exposicin al riesgo ponderado, los
subprocesos que componen los procesos crticos donde se aplicarn en forma prioritaria las
estrategias.
Dentro de los subprocesos priorizados deben ser tratados los riesgos, correspondientes a las
actividades que se desarrollan al interior de todas las etapas que los componen, priorizados de
acuerdo al nivel de exposicin al riesgo para cada etapa.
41

De esta manera, en el ejemplo el Ranking podra aparecer como sigue:
Cuadro N 12: Ejemplo de Ranking de Subprocesos (Cuadro Considera el Ranking de
Etapas por nivel de exposicin al riesgo)
Procesos
Subprocesos
Subproceso 1
Nivel de
Exposicin al
Riesgo
Ponderado
por
Subproceso
Ranking para
priorizar
estrategias de
tratamiento en
los
subprocesos
1,8
1,0
1,7
Subproceso 1
1,0
.
Subproceso 2
2
Capacitacin
Etapa 1
2,1
Etapa 2
1,9
Etapa 2
Etapa 1
Formar
Parte del
Plan de
Tratamiento
a nivel de
Subproceso y
a nivel de
Etapa
No formar
parte del
Plan de
Tratamiento
por razones
de costos
1
Entrega
Crditos
Subproceso 2
Etapas
Ranking para
Nivel de
priorizar
Fundamentos
Exposicin estrategias de
para la
al Riesgo tratamiento de los Priorizacin
por Etapa
riesgos en las
etapas
Este ranking indica que se debe comenzar a trabajar en los subprocesos 1 y 2 del proceso
crtico Entrega de Crditos, riesgos de las etapas 1 y 2, y as sucesivamente con los dems.
Para el adecuado desarrollo del Proceso de Gestin de Riesgos, la organizacin
gubernamental debe hacer un ranking de procesos, de subprocesos y etapas. Se sugiere la
utilizacin de los cuadros N 11 y N 12, respectivamente, como apoyo para el sealado
ranking.
Es importante que, en base la informacin proporcionada por los Ranking de Procesos y
Subprocesos (incluyendo el Ranking de Etapas), la organizacin gubernamental determine qu
etapas, subprocesos y procesos sern abordados con acciones para tratar los riesgos
especficos. Dicha determinacin debe fundamentarse debidamente, en consideracin de
aquellos riesgos para los cuales no se tomarn acciones para disminuir los niveles de riesgo.
Para una adecuada fundamentacin, se debern considerar variables tales como la importancia
estratgica de los procesos y subprocesos, aspectos presupuestarios, nfasis de las
autoridades y todas aquellas variables que permitan justificar adecuadamente su tratamiento
versus las materias que no sern abordadas con planes de tratamiento.
42

5.- FASE TRATAMIENTO DE RIESGOS
La Fase Tratamiento de Riesgos, implica que la direccin debe tomar todas las acciones
necesarias en forma concreta para administrar los riesgos una vez que han sido analizados y
priorizados en el ranking de riesgos.
Por la importancia que esta fase adquiere en un Proceso de Gestin de Riesgos en el Sector
Gubernamental, se ha estimado necesario entregar algunos elementos que permitan una mejor
comprensin de la misma.
5.1.- Formular Estrategias para el Tratamiento y Monitoreo de los Riesgos
Una vez evaluados y priorizados los riesgos en las fases respectivas, la direccin debe asumir
la realizacin de las acciones concretas necesarias para tratarlos y monitorearlos, generando
una respuesta lo suficientemente adecuada para mantener la exposicin del riesgo en un nivel
aceptado.
Sin perjuicio de lo anterior, en los casos con niveles de exposicin al riesgo de nivel Bajo,
pese a que se identificaran controles muy efectivos en relacin al riesgo, habr que analizar la
severidad del riesgo en forma individual, en especial, el nivel de impacto que se producira de
materializarse dichos riesgos. Tambin debe realizarse un monitoreo que permita actualizar el
impacto o probabilidad oportunamente.
5.2.- Estrategias Genricas para Tratamiento de los Riesgos
La NCh-ISO 31000:2012 seala que el tratamiento del riesgo supone un proceso cclico de:
Evaluar un tratamiento del riesgo.

Decidir si los niveles de riesgo residual son tolerables.
Si no son tolerables, generar un nuevo tratamiento del riesgo.
Evaluar la eficacia de este tratamiento.
Tambin aclara que las opciones de tratamiento del riesgo no se excluyen necesariamente
unas a otras, ni son apropiadas en todas las circunstancias. Las opciones pueden incluir lo
siguiente:
Evitar el riesgo decidiendo no iniciar o continuar con la actividad que causa el riesgo.
Aceptar o aumentar el riesgo a fin de perseguir una oportunidad.
Eliminar la fuente del riesgo.
Modificar la probabilidad.
Modificar las consecuencias.
Compartir el riesgo con otras partes (incluyendo los contratos y la financiacin del riesgo)
Retener el riesgo en base a una decisin informada.
Por su parte, el Marco de Gestin de Riesgos Corporativos ERM - COSO II, seala que existen
cuatro estrategias globales que permiten enfrentar la problemtica de gestionar los riesgos,
desde el punto de vista de su nivel de severidad (probabilidad y consecuencias) y del nivel de
la exposicin al riesgo (severidad efectividad control), estas estrategias globales o genricas
son:
43

Evitar: Salir de las actividades que generen los riesgos. Cuando esto sea realizable y no
afecte los requerimientos legales o la eficiencia operacional. La aplicacin de esta estrategia
en el sector pblico est muy limitada, ya que la mayora de su quehacer se encuentra
normado en sus leyes orgnicas u otros cuerpos legales, por lo cual el salir de una actividad,
generalmente no es una decisin que se pueda adoptar en forma independiente.
Reducir: Implica llevar a cabo acciones para reducir la probabilidad o las consecuencias del
riesgo o ambos a la vez. Adicionalmente puede analizarse si es posible mejorar la
efectividad del control asociado al riesgo.
Compartir: La probabilidad o las consecuencias del riesgo se reducen trasladando o, de
otro modo, compartiendo una parte del riesgo. Adicionalmente puede analizarse si es
posible mejorar la efectividad del control asociado al riesgo.
Aceptar: No se emprende ninguna accin que afecte a la probabilidad, las consecuencias
del riesgo o la efectividad del control asociado al riesgo (por ejemplo, la relacin costo
beneficios no lo justifica).
A continuacin se presentan algunos ejemplos para las estrategias genricas de tratamiento
del riesgo que se encuentran en la literatura, las que slo tienen la finalidad de ejemplificar esta
materia.
Cuadro N 13: Ejemplos de Medidas para Tratar el Riesgo Desde el Punto de la Severidad
del Riesgo y de la Exposicin al Riesgo
EVITAR
COMPARTIR
o
o
o
o
o
Prescindir de las actividades de una unidad

de negocio, agencia regional o subsidiaria.
Suspender la produccin de una lnea de
servicio o producto.
Terminar con las actividades de un programa,
proyecto o sistema.
Decidir
no
emprender
nuevas
iniciativas/actividades que podran dar lugar a
riesgos excesivos.
o
o
o
o
REDUCIR
o
o
o
o
o
Diversificar las ofertas de servicios y

productos.
Establecer lmites en la ejecucin del
presupuesto por regin o unidad.
Establecer procesos de negocio eficaces.
Aumentar la implicacin de la direccin en la
toma de decisiones y el seguimiento.
Reasignar los recursos presupuestarios entre
las unidades operativas.
Adoptar seguros contra prdidas inesperadas

significativas.
Establecer acuerdos con otras organizaciones
gubernamentales o privadas.
Protegerse contra los riesgos utilizando instrumentos
del mercado de capital a largo plazo, cuando se tenga
autorizacin para ello.
Externalizar procesos de negocio riesgosos siempre
que no correspondan al ejercicio mismo de sus
facultades.
Distribuir el riesgo mediante acuerdos contractuales
con entidades que acten como clientes, proveedores
u otros interesados.
ACEPTAR
o
o
o
44
Provisionar las posibles prdidas.

Confiar en las compensaciones naturales existentes
dentro de una cartera.
Aceptar el riesgo si se adapta al nivel mximo
preestablecido.

5.3.- Evaluar y Seleccionar las Estrategias de Tratamiento de los Riesgos
Una vez conocidas las estrategias genricas para tratar los riesgos, es necesario a travs de la
evaluacin de los costos y beneficios potenciales, determinar qu estrategia va a utilizar la
organizacin gubernamental y hacia dnde orientarlas. Para ello, es necesario tener presente
algunas consideraciones:
Las opciones pueden ser evaluadas sobre la base del grado de reduccin de la
Severidad del Riesgo (impacto y/o probabilidades), y las mejoras en la efectividad de los
controles.
Deben considerarse una cantidad de opciones individualmente o combinadas. Es

posible que una estrategia de respuesta afecte a mltiples riesgos.
El costo de administrar un riesgo, necesariamente debe ser compensado con beneficios

relacionados, sean sociales y/o econmicos.
Considerar que los requerimientos legales podran estar por sobre los resultados del
anlisis costo-beneficio antes referido.
Se debe tener en cuenta que un tratamiento al riesgo mediante una estrategia podra
introducir nuevos riesgos. Estos tambin deben identificarse y tratarse adecuadamente.
El objetivo principal de la seleccin de las estrategias siempre debe ser el reducir la

severidad del riesgo y/o aumentar la efectividad del control existente, acciones que
finalmente repercuten en bajar el nivel de la exposicin al riesgo.
En el cuadro N 14 se presenta una relacin comparativa de la aplicacin de las estrategias y

su efecto potencial en la severidad del riesgo y en la efectividad del control.
Cuadro N 14: Relaciones Generales Entre las Estrategias y su Efecto en el Riesgo y
Efectividad del Control
Efecto potencial en los
componentes de la Severidad del
Riesgo
Efecto potencial en
la Efectividad del
Control
La probabilidad e impacto no se
reducen.
Reducir
El nivel de probabilidad o impacto

se reducen (o ambos).
Mejora su efectividad
El Nivel de Exposicin al Riesgo

est fuera de los lmites aceptados
por la organizacin. No se ve
afectada.
disminuye.
Mejora su efectividad

disminuye.
Compartir
El nivel de probabilidad o impacto

se reducen (o ambos).
Aceptar
La probabilidad e impacto no se
reducen.
Estrategias
Genricas
Evitar
45
Situacin esperada en
relacin con el Nivel de
Exposicin al Riesgo

debiera estar ya dentro de los
lmites con que la organizacin
puede aceptar operar.
5.4.- Preparar e Implementar Planes de Tratamiento y Monitoreo

La Direccin de la organizacin gubernamental debe aprobar los planes y estrategias
seleccionadas. En consideracin a que dentro de los procesos y subprocesos priorizados,
deben tratarse todos los riesgos que corresponden a la actividades de las etapas que stos
ltimos contienen, as como los riesgos de entrada y salida de cada subproceso, es
recomendable gestionar los riesgos bajo una perspectiva de cartera o portafolio, esto implica
analizar los riesgos en su conjunto, considerando cmo los riesgos individuales se
interrelacionan en el mbito organizacional.
Debe definirse responsables de la estrategia, plazos, indicadores de logro, periodo de
medicin, etc.
Para un adecuado desarrollo del Proceso de Gestin de Riesgos, la organizacin
gubernamental debe confeccionar un Plan de Tratamiento de Riesgos, que contenga todos los
riesgos crticos de dicha entidad, de acuerdo a la priorizacin realizada.
El Plan de Tratamiento deber realizarse teniendo en consideracin los siguientes puntos:
Los riesgos escogidos para el tratamiento deben ser adecuados para gestionar el riesgo
del o los procesos y subprocesos priorizados, esto implica que dentro de un proceso
deberan tratarse los riesgos relevantes o crticos que faciliten que ste mejore de
manera de mantener sus riesgos (a nivel de proceso) dentro de los lmites tolerables.
Las estrategias escogidas deberan ser: reducir, aceptar, compartir o evitar, teniendo
presente que las estrategias de aceptar o evitar, no tienen efecto sobre la severidad del
riesgo o la efectividad del control, y que la estrategia evitar es de aplicacin muy
limitada en el sector pblico.
Las acciones definidas deben ser aptas para mitigar el riesgo al cual se asocian, de
manera que esas acciones acten de manera directa en el riesgo que se espera afectar.
Cuando se requiera mejorar un control como medida de tratamiento de los riesgos, la
accin debe demostrar que el control actual se actualizar o complementar, en ningn
caso que se mantendr.
Los indicadores deben ser de resultado y sealar explcitamente qu es lo que se quiere
medir. Debe expresarse como una medida y establecer las variables y operaciones que
se deben realizar para el clculo del indicador.
La meta debe ser el valor deseado del indicador que se espera alcanzar.
El verificador debe ser apto para dar seguridad de que se alcanz la meta.
Para mayor claridad de los puntos anteriores, ver un ejemplo en Anexo N 10.
De acuerdo a lo anterior, debe emitirse un Plan de Tratamiento que contendr las medidas a
adoptarse ante los riesgos crticos de la organizacin gubernamental. Se sugiere el uso del
formato del cuadro N 15 siguiente:
46
Cuadro N 15: Formato para informar del plan de tratamiento de los riesgos priorizados
Proceso
Transversal
(1)
Proceso
(2)
Ranking
de
Procesos Subproceso
(3)
(4)
Etapa
(5)
Riesgo
Especfico
(6)
Fuente del
Riesgo
(7)
Tipo de
Riesgo
(8)
Estrategia
Genrica
(9)
Efecto
Periodo
Potencial en
Medicin
Evidencia
Descripcin
la Severidad Responsable
del
que se
de la
Indicador
Meta
de Riesgo y/o
de la
Plazo
Indicador
Observar
Estrategia a
de Logro
(16)
Efectividad
Estrategia
(13)
(15)
(17)
Aplicar
(14)
del Control
(12)
(10)
(11)
Descripcin de la informacin solicitada en el formato dispuesto en el cuadro N 15

Nmero de
descriptor
(1)
(2)
(3)
(4)
(5)
(6)
(7)
(8)
(9)
(10)
(11)
(12)
(13)
(14)
(15)
(16)
(17)
Significado
Proceso genrico, transversal o megaproceso al cual corresponde el proceso priorizado, de acuerdo
a la clasificacin del documento (Cuadro N 3).
Denominacin especfica que el proceso tiene en la Organizacin Gubernamental.
Prioridad de tratamiento del proceso, de acuerdo al nivel de exposicin al riesgo.
Subprocesos que conforman el proceso priorizado.
Etapas que conforman cada uno de los subprocesos del proceso priorizado.
Riesgos que se identifican en la etapa, en relacin a actividades que en dicha etapa se llevan a
cabo.
Origen externo o interno de los riesgos, de acuerdo al control que tiene la Organizacin
Gubernamental de la fuente que los produce.
Clasificacin del riesgo, de acuerdo a la tipologa que entrega el documento en el cuadro N 6.
Tipo de estrategia que se adopt para tratar ese riesgo de acuerdo al punto 5.2 (evitar, reducir,
compartir, aceptar).
Detalle de la estrategia genrica que se va a utilizar. Pormenorizar las acciones y actividades que se
desarrollarn para llevar a cabo la estrategia genrica.
Sealar si la estrategia apunta a disminuir la severidad del riesgo (probabilidad, impacto o ambos)
y/o a potenciar el control y de qu manera.
Sealar quien es la persona y cargo responsable de la implementacin de las acciones especficas
de la estrategia.
Definir en qu plazo se debe implementar la estrategia.
Corresponde a la forma cuantitativa o cualitativa como se evala el nivel de cumplimiento de la
estrategia definida. Debe tratarse de un indicador de resultado, que demuestre cmo la estrategia
mitiga el riesgo al cual se asocia.
Sealar periodos en que se va a medir el indicador dependiendo de la naturaleza del mismo
(mensual, trimestral, semestral, etc.)
Resultado tangible que se espera lograr con la implementacin de la estrategia.
Documento o instrumento que se utilizar en la medicin del indicador.
6.- FASE MONITOREO Y REVISIN

En esta fase es necesario nombrar responsables de monitorear la efectividad de todos los
pasos del Proceso de Gestin de Riesgos, para asegurar que se est cumpliendo
adecuadamente y que las circunstancias cambiantes no alteran las prioridades al afectar las
ponderaciones estratgicas, las probabilidades o impactos de los riesgos, etc.
Para esta fase del Proceso de Gestin de Riesgos, la organizacin gubernamental debe
establecer formalmente responsables del monitoreo y formular estructuras de reportes tiles a
la organizacin, que le permita a la direccin, obtener informacin relevante, en forma oportuna
y peridica sobre el estado de los riesgos en cualquier etapa del proceso.
Tambin es conveniente, internalizar en la cultura organizacional la implantacin y utilizacin
de modelos de autoevaluacin de riesgos.
47

Actividades Recomendadas para Monitorear los Planes de Tratamiento y Monitoreo
Seguimiento de las estrategias seleccionadas y monitoreo de las actividades

requeridas.
Verificar peridicamente el avance en la implementacin de la estrategia de tratamiento

de los riesgos.
Tambin se deben analizar y evaluar los controles existentes que contribuyen a

asegurar el cumplimiento de las medidas tomadas para mitigar los riesgos.
La auditora interna tiene un rol fundamental en esta actividad, los planes de auditora
deben considerar la evaluacin de las actividades de monitoreo y el seguimiento de la
implantacin de las estrategias de tratamiento de los riesgos.

Sin perjuicio a que la Fase de Monitoreo y Revisin es transversal al resto de las fases del
Proceso de Gestin de Riesgos, se requiere que la organizacin gubernamental realice el
monitoreo en base al Plan de Tratamiento que defini. Se sugiere que se utilice el formato que
se seala en el siguiente cuadro N 16.
Cuadro N 16: Formato Bsico para Informar del Monitoreo de las Estrategias de
Tratamiento de los Riesgos
Proceso
transversal
Proceso
Subproceso
Etapa
Riesgo
especfico
Estrategia
genrica
Descripcin
de la
estrategia a
aplicar
Periodo de
Resultados
evaluacin de
de la
Evidencia del Proyecciones de
Recomendaciones
implementacin medicin de cumplimiento cumplimiento
(e)
de la estrategia
la metas
(c)
(d)
(a)
(b)
Descripcin de la informacin solicitada en el formato dispuesto en el cuadro N 16 (slo aquellos conceptos

no explicados con ocasin del formato N 15)
Nmero de
Significado
descriptor
(a)
Sealar en qu fecha se evalu la implementacin de la estrategia.
Sealar el resultado que se obtuvo de la medicin de las metas. (Cumplida, parcialmente cumplida,
(b)
porcentaje de cumplimiento, etc.)
Expresar y detallar en que documentos o que informacin se utiliz para tener evidencia suficiente y
(c)
adecuada del cumplimiento.
En caso de no haberse cumplido totalmente la meta, como se proyecta que ser el cumplimiento.
(d)
(En unidades de tiempo, o si no se podr cumplir).
Sugerencias que realiza el responsable del monitoreo y revisin para que se obtenga el logro de la
(e)
meta, o se mejore en trminos de oportunidad y calidad.
48

7.- FASE COMUNICACIN Y CONSULTAS
Sin perjuicio que para efectos metodolgicos esta Fase se explicar ahora, en general es una
de las primeras que se debera desarrollar en la implantacin de un Proceso de Gestin de
Riesgos. En ella se desarrollarn planes de comunicacin y consulta, a travs de informar y
consultar con los interesados internos y externos, segn resulte apropiado en cada etapa del
Proceso de Gestin de Riesgos. La informacin es identificada, capturada y comunicada de
manera que todos puedan cumplir con sus roles y deberes y para asegurarse que aquellos
responsables de la implementacin del Proceso y las partes interesadas comprenden las bases
que han servido para tomar decisiones y las razones por las que son necesarias determinadas
acciones.
La idea es que los interesados internos (la organizacin gubernamental) y los externos que
corresponda (Autoridades, Consejo de Auditora, etc.) estn informados de la marcha del
Proceso de Gestin de Riesgos y de qu manera se van implementando las medidas para el
tratamiento de riesgos. Para esto es importante que los informes y sistemas de informacin
ofrezcan suficientes datos relevantes para posibilitar una comunicacin y control eficaz.
En consideracin a que el objetivo fundamental de esta fase es obtener y entregar informacin
confiable en todas las fases del Proceso de Gestin de Riesgos, en primer lugar se debera
elaborar o actualizar Planes de Comunicacin y Consulta, adaptados a la realidad de la
organizacin, considerando como mnimo los siguientes componentes y antecedentes:
7.1.- Componente: Temas Relativos al Riesgo
Entre los antecedentes que se pueden considerar estn:
Reportes de anlisis de indicadores relacionados con el Proceso de Gestin de Riesgos

en general.
Reportes de anlisis relacionados con la Matriz de Riesgos Estratgica al Jefe de
Servicio y responsables de las reas en la organizacin.
Reportes de actualizacin del anlisis de riesgos.
Reportes del Plan de Tratamiento de Riesgos al Jefe de Servicio y responsables de las
reas en la organizacin.
Algunos ejemplos de criterios e indicadores (la organizacin gubernamental debe disear

sus propios indicadores de acuerdo a su naturaleza y necesidades) que pueden
establecerse en relacin al anlisis de la informacin derivada del Proceso de Gestin de
Riesgos, se muestran a continuacin en el cuadro N 17.
Sin perjuicio de la periodicidad en que el Jefe de Servicio y el Consejo de Auditora requiera
el envo de los resultados de los indicadores y en general de los distintos reportes, la
organizacin debera definir responsables y plazos para monitorear los cambios de estos
resultados y as obtener informacin oportuna que ayude a la toma de decisiones de la
Direccin.
49

Cuadro N 17: Ejemplos de Criterios e Indicadores para Anlisis de Informacin del
Proceso de Gestin de Riesgos
Posibles Indicadores para Anlisis
(La lista no es taxativa)
Criterio
Responsable
Plazos
Asociados a Comprensin del Proceso de Gestin de Riesgos

Encargado de Riesgos En el mes de
reas con mayor cantidad de participantes.
Calidad
Materias de mayor complejidad para los en conjunto con los enero de cada
Cursos y
coordinadores
de ao.
alumnos.
Talleres
riesgos.
reas de mejor rendimiento en el curso.

reas que mejor desarrollan el Proceso.

Nivel de
en conjunto con los enero de cada
% de personas involucradas por rea.

Aplicacin
coordinadores
de ao.
riesgos.
Asociados a los Reportes del Proceso de Gestin de Riesgos
Oportunidad
Cumplimiento con la distribucin del reporte.

Reportes
Das de retraso respecto del Plan de en conjunto con los enero de cada
coordinadores
de ao.
comunicacin.
riesgos.
Calidad
Exactitud de la informacin del reporte.

Contenido
Completitud de anlisis del reporte.

de ao.
Nivel de medidas correctivas y preventivas coordinadores

riesgos.
comprometidas en reporte de tratamiento.
Asociados a la Matriz de Riesgos Estratgica del Proceso de Gestin de Riesgos
Procesos con ms altas severidades del riesgo. Encargado de Riesgos En el mes de
Subprocesos con ms altas severidades de en conjunto con los enero de cada

Severidad
coordinadores
de ao.
riesgo.
del Riesgo
riesgos.
Etapas con ms altas severidades de riesgo.
Procesos con ms altas exposiciones al riesgo.
Subprocesos con ms altas exposiciones al Encargado de Riesgos En los meses

Exposicin
en conjunto con los de enero y
riesgo.
al Riesgo
coordinadores
de octubre
de
Etapas con ms altas exposiciones al riesgo.

riesgos.
cada ao.
Procesos con riesgos de impactos ms altos.
Subprocesos con riesgos de impactos ms Encargado de Riesgos En el mes de

Impacto al
altos.
Riesgo
coordinadores
de ao.
Etapas con riesgos de impactos ms altos.

riesgos.
Tipologas de Riesgos que ms se repiten.

Tipos de
Tipos de riesgos con mayor exposicin.

Riesgos
coordinadores
de ao.
Tipos de riesgos con mayor impacto.

riesgos.
Procesos con controles ms efectivos.

Procesos con controles menos efectivos.

Riesgos
extremos
con
controles
menos
Controles
coordinadores
de ao.
efectivos.
riesgos.
Procesos en los primeros lugares del ranking y

su relacin al negocio.
Ranking
Procesos en los primeros lugares del ranking y en conjunto con los enero de cada
coordinadores
de ao.
su relacin al soporte.
Procesos priorizados y profundidad del riesgos.

levantamiento realizado.
Asociados a Otras Dimensiones del Proceso de Gestin de Riesgos
.
.
.
.
50

7.2.- Componente: Realizar Comunicaciones y Consultas Internas y Externas Eficaces
El objetivo es asegurarse que los responsables de la implementacin del Proceso de Gestin
del Riesgo y las partes interesadas en la organizacin comprenden las bases que han servido
para tomar decisiones y las razones por las que son necesarias determinadas acciones. Entre
los antecedentes que se pueden considerar estn:
Identificar usuarios o clientes internos y externos, y su nivel e importancia para el

Proceso de Gestin de Riesgos.
Definir qu tipo de informacin se espera recibir y remitir en el proceso.
Definir roles y responsables de la calidad y confiabilidad para la informacin a recibir y
remitir.
Definir periodicidad para la informacin a recibir y remitir.
Identificar y definir sistemas, canales y mecanismos para manejar la informacin de
gestin de riesgos al interior de la organizacin y para remitirla externamente.
Definir qu tipo de reportes tendr el proceso. Definir Tipo de anlisis que se incluirn
en los reportes.
Definir el procedimiento de cmo se realizar la comunicacin, identificar los soportes y
tecnologas requeridas.
Definir cmo y quines tendrn acceso a la comunicacin, sealar los criterios para
definir perfiles por tipo de informacin.
Definir cmo se recolectarn opiniones que genere la comunicacin, espacios de
participacin, forma como se har efectiva la participacin.
Posteriormente, se debera analizar, a una fecha dada, los resultados de la aplicacin de los
Planes de Comunicacin y Consulta y emitir un informe. Solicitar a los usuarios de la
informacin contestar algunas de las siguientes preguntas relacionadas con el contenido,
oportunidad, actualidad, exactitud y accesibilidad de los reportes internos y externos, puede ser
de utilidad para esta tarea. Entre otros se pueden considerar las siguientes:
En relacin al contenido. Contiene toda la informacin necesaria?

En relacin con la oportunidad. Se facilita en el tiempo adecuado?
En lo relativo a la actualidad. Es la ms reciente disponible?
En relacin con la exactitud. Los datos son correctos?
Por ltimo, en relacin a la accesibilidad. Puede ser obtenida fcilmente por las
personas adecuadas?
Debe propenderse a mejorar la calidad de la informacin, incorporndose las tecnologas de

informacin que le permitan interoperar entre distintos sistemas y plataformas, en forma interna
y externa, obteniendo datos en lnea de las actividades del negocio y en particular del Proceso
de Gestin de Riesgos.
Es importante reiterar que el desarrollo de cada una de las fases del Proceso de Gestin de
Riesgos es en primer lugar responsabilidad del Jefe Superior de la organizacin gubernamental
y luego tambin es responsabilidad de todos los ejecutivos responsables de cada proceso y
finalmente de todo el personal. La auditora interna por su parte, debe apoyar a la referida
autoridad a coordinar la mantencin y mejoramiento del proceso y a monitorear su adecuado
avance en las diferentes fases, sin perjuicio de las actividades de aseguramiento contempladas
en el Plan Anual de Auditora aprobado por la Direccin.
51

Para un adecuado desarrollo del Proceso de Gestin de Riesgos, se debe permanentemente
revisar y mejorar la informacin que fluye en el Proceso de Gestin de Riesgos orientndose a
que sta refleje un uso adecuado en dicho proceso. Para lo anterior, el Jefe de Servicio debe
aprobar un Plan de Comunicacin y Consulta que deber implementarse al inicio del Proceso
de Gestin de Riesgos19, considerando los plazos y roles definidos por la organizacin y que
contenga al menos los siguientes componentes:
Definir Componente Reportes Sobre Temas Relativos al Riesgo:

Tipo, contenido y periodicidad de reportes de anlisis de indicadores
relacionados con el Proceso de Gestin de Riesgos en general. Se recomienda
examinar los ejemplos de criterios e indicadores de la informacin del Proceso de
Gestin de Riesgos que se muestran en el cuadro N 17.
Tipo, contenido y periodicidad de reportes de anlisis relacionados con la Matriz
de Riesgos Estratgica al Jefe de Servicio y responsables de las reas en la
organizacin. Se recomienda formular un resumen de los principales puntos o temas
de inters que arroja el examen y anlisis de la Matriz de Riesgos Estratgica, como por
ejemplo; reas que no han informado de sus procesos y riesgos oportunamente,
procesos ms crticos de la institucin, de mayor severidad, menos controlados, los que
aparecen excesivamente controlados en relacin a su severidad, etc. Este reporte
puede contener informacin de los indicadores generales del Proceso de Gestin de
Riesgos, como tambin de otras fuentes. El reporte debera ser elaborado por personal
que se relacione con el Proceso de Gestin de Riesgos y debera ser remitido al Jefe de
Servicio al menos una vez en el ao y al Consejo de Auditora cuando ste lo solicite.
Tipo, contenido y periodicidad de reportes de actualizacin del anlisis de
riesgos. Incluir nuevos riesgos o riesgos emergentes, cambios significativos en la
probabilidad o el impacto de los riesgos existentes, cambios en factores de riesgos, etc.
Tipo, contenido y periodicidad del reporte del Plan de Tratamiento de Riesgos al
Jefe de Servicio y responsables de las reas en la organizacin. considerar los
elementos considerados en el punto V.- Plan de Tratamientos, de este Documento
Tcnico.
Definir Componentes de las Comunicaciones y Consultas Internas y Externas
El Jefe del Servicio debe aprobar formalmente los siguientes temas:

Identificar usuarios o clientes internos y externos, y su nivel e importancia para el
Proceso de Gestin de Riesgos.
Definir qu tipo de informacin se espera recibir y remitir en el proceso.
Definir roles y responsables de la calidad y confiabilidad para la informacin a recibir y
remitir.
Definir periodicidad para la informacin a recibir y remitir.
19
Sin perjuicio de las actualizaciones posteriores que se requiera hacer al Plan de Comunicacin y Consulta.
52

Identificar y definir sistemas, canales y mecanismos para manejar la informacin de
gestin de riesgos al interior de la organizacin y para remitirla externamente.
Definir qu tipo de reportes tendr el proceso. Definir Tipo de anlisis que se incluirn
en los reportes.
Definir el procedimiento de cmo se realizar la comunicacin, identificar los soportes y
tecnologas requeridas.
Definir cmo y quines tendrn acceso a la comunicacin, sealar los criterios para
definir perfiles por tipo de informacin.
Definir cmo se recolectarn opiniones que genere la comunicacin, espacios de
participacin, forma como se har efectiva la participacin.
El Plan de Comunicacin y Consulta deber enviarse al menos anualmente al Jefe de Servicio
y al Consejo de Auditora cuando ste lo solicite.
C.- REGISTRO DEL PROCESO DE GESTIN DE RIESGOS
De acuerdo con la NCh-ISO 31000:2012, las actividades de gestin del riesgo deberan ser
trazables. En el Proceso de Gestin del Riesgo los registros proporcionan la base para la
mejora de los mtodos y de las herramientas, as como del proceso en su conjunto.
Las decisiones relativas a la creacin de registros deberan tener en cuenta:
Las necesidades de la organizacin en materia de aprendizaje continuo.

Los beneficios de reutilizar la informacin para fines de gestin.
Los costos y los esfuerzos que involucran la creacin y la mantencin de los registros.
Las necesidades legales, reglamentarias y operacionales para efectuar los registros.
El mtodo de acceso, la facilidad de recuperacin y los medios de almacenaje.
El perodo de conservacin.
El carcter sensible de la informacin.

Para una adecuada implantacin, mantencin y actualizacin del Proceso de Gestin de
Riesgos, la organizacin gubernamental deber definir los registros que llevar con la finalidad
de documentar dicho proceso, indicando al menos:
Tipo de registro.
Contenido del registro.
Responsable del registro.
Cmo se tendr acceso al registro.
Cmo se almacenarn los registros.
Por cunto tiempo se deben almacenar y quin puede destruirlos y reemplazarlos.
Si existen temas sensibles en l o los registros y qu medidas se tomarn en dicho
caso.
53

D.- REPORTES DEL PROCESO DE GESTIN DE RIESGOS AL CONSEJO DE AUDITORA
INTERNA GENERAL DE GOBIERNO
El Consejo de Auditora Interna General de Gobierno podr definir en forma peridica qu
reportes derivados del Proceso de Gestin de Riesgos desarrollado por las Organizaciones
Gubernamentales deben ser reportados, as como la oportunidad y formato de dichos reportes.
54

VII.- BIBLIOGRAFA
Consejo de Auditora Interna General de Gobierno, Documento Tcnico N 41 Gestin de
Riesgos, 2009.
Riesgos, 2010.
Riesgos, 2014.
Instituto de Auditores Internos (IIA), Practice Guide: Assessing the Adequacy of Risk
Management Using ISO 31000, 2010.
Instituto de Auditores Internos (IIA), International Professional Practices Framework (IPPF),
EEUU, 2011.
International Organization for Standardization, ISO 31000:2009 - Principios y Orientaciones
para la Gestin de Riesgos, 2009.
International Organization for Standardization, Internacional ISO/TR 31004:2013. Risk
management - Guidance for the implementation of ISO 31000, 2013.
Instituto Nacional de Normalizacin, Norma NCH-ISO 31000:2012 - Principios y Directrices
para la Gestin de Riesgos, 2012.
Instituto Nacional de Normalizacin, Norma NCH-ISO Gua 73:2012 - Gestin del Riesgo
Vocabulario, 2012.
Instituto Nacional de Normalizacin, Norma NCH-ISO 31010:2013 - Gestin del Riesgo Tcnicas de Evaluacin del Riesgo, 2013.
Instituto Nacional de Normalizacin, Norma NCH-ISO 31004:2014 Gestin del Riesgo
Orientacin para la implementacin de ISO 31000.
Instituto de Auditores Internos de Espaa, Definicin e Implantacin de Apetito de Riesgo,
2013.
Organizacin para la Cooperacin y el Desarrollo Econmicos - Principios de Gobierno
Corporativo de la OCDE, 2004.
Open Compliance & Ethics Group, OCEG Red Book GRC Capability Model, 2013.
Sponsoring Organizations of the Treadway Commission (COSO), Gestin de Riesgos
Corporativos, Marco Integrado Resumen Ejecutivo Marco, Espaa, 2004.
Sponsoring Organizations of the Treadway Commission (COSO), Internal Control Integrated Framework, 2013.
55

ANEXO N 1
EJEMPLO ILUSTRATIVO DE POLTICA DE GESTIN DE RIESGOS
La gestin de riesgos proporciona a nuestro (Servicio, Empresa, entidad, etc,) la capacidad
para identificar, evaluar y gestionar todo el espectro de riesgos y posibilitar que todo el personal
mejore su comprensin del riesgo, lo que permite obtener:
Aceptacin responsable del riesgo.

Apoyo a la direccin.
Mejoras en los resultados.
Responsabilidad reforzada.
Liderazgo superior.
La presente poltica, que asigna especial importancia a la reduccin de los riesgos, obedece al
propsito de mejorar la gestin institucional, a fin de contribuir al cumplimiento de sus objetivos
estratgicos y con ello, al logro de su misin.
Como elementos importantes en la Gestin de Riesgos se considerarn:
La utilizacin de la norma chilena ISO NCh-ISO 31000:2012 como marco principal para
la gestin de riesgos integral en la organizacin.
La integridad y consistencia de los procedimientos administrativos y procesos
asociados.
La calidad de la gestin de los recursos humanos a travs, fundamentalmente, de sus
habilidades, perfiles y entrenamiento.
La infraestructura.
La pertinencia, oportunidad y seguridad de la informacin.
Prevalecer el enfoque PREVENTIVO y PROACTIVO.
El proceso de Gestin de Riesgos dar cumplimiento a los siguientes aspectos:
La existencia de un ambiente controlado de gestin de riesgos que, definido por la

Direccin, establezca estrategias corporativas y una estructura de supervisin adecuada
que garantice su operatividad.
La definicin y documentacin de la exposicin al riesgo a lo largo de los procesos y
lineamientos, de acuerdo con los criterios de las Normas de Calidad.
La cuantificacin del impacto y probabilidad de ocurrencia para cada uno de los riesgos
identificados.
Evaluacin y seguimiento permanente de eventos que generen perjuicios a la entidad.
Nuestra Misin consiste en entregar apoyo a la mujer microempresaria, entregndole soporte a

la mujer emprendedora con instrumentos de fomento, crditos flexibles y capacitacin para los
negocios. Lo anterior implica importantes riesgos pero tambin oportunidades. Por una parte, la
mujer ha tomado un papel de importancia en la sociedad y ha escalado posiciones de poder y
empresariales de relevancia. Adems, la mujer en general, es puntual en el pago de sus
obligaciones y en el cumplimiento de sus compromisos. Sin embargo, tambin surgen riesgos
relacionados con la vulnerabilidad del sector al que est orientado la organizacin, ya que se
56

trata de mujeres de bajos ingresos y nivel cultural. Adems la expansin del comercio
electrnico obliga a capacitar a nuestras usuarias en el uso y manejo de las tecnologas que les
permitan insertarse en el mundo de los negocios.
Consideramos que enfrentamos un gran desafo y estamos conscientes que debemos capacitar
a nuestras usuarias para que enfrenten el complejo mundo de los negocios, esto implicar una
gran inversin en recursos humanos y tecnolgicos y una constante medicin de nuestros
resultados, para determinar nuestros avances y retrocesos.
Para el Proceso de Gestin de Riesgos, se incorporarn todos los procesos que desarrolla la
organizacin, tanto aquellos de negocio, esto es, los que se relacionan directamente con el
cumplimiento de su Misin, como los de soporte.
En el marco del proceso de Gestin de Riesgos, la Direccin Ejecutiva utilizar la metodologa
del Consejo de Auditora esto es, se levantarn estos procesos, desagregndose por
subproceso, etapas, actividades y riesgos y priorizar los procesos y subprocesos en funcin
de la importancia relativa de cada uno de ellos en el cumplimiento de la misin institucional y
objetivos estratgicos, para luego ser administrados, utilizando alguna de las siguientes
estrategias genricas, que no se excluyen necesariamente unas a otras, ni son apropiadas en
todas las circunstancias., adecuadas a la realidad de la organizacin gubernamental:
Evitar el riesgo decidiendo no iniciar o continuar con la actividad que causa el riesgo;
Aceptar o aumentar el riesgo a fin de perseguir una oportunidad;
Eliminar la fuente del riesgo;
Modificar la probabilidad;
Modificar las consecuencias;
Compartir el riesgo con otras partes (incluyendo los contratos y la financiacin del riesgo);
Retener el riesgo en base a una decisin informada.
Cualquiera estrategia que se elija, debe estar justificada y estar aprobada por la direccin.
La Direccin de la organizacin gubernamental se compromete peridicamente a realizar una
revisin de la poltica de riesgos aqu establecida.
57

ANEXO N 2
EJEMPLO DE DEFINICIN DE ROLES
58

ANEXO N 3
ROL DE LA AUDITORA INTERNA EN EL PROCESO DE GESTIN DE RIESGOS EN EL
SECTOR GUBERNAMENTAL
Cuando nos encontramos en una entidad gubernamental que cuenta con un Proceso de
Gestin de Riesgos en operacin; la formulacin de Matriz de Riesgos y las estrategias para
tratar y monitorear los riesgos pasan a ser parte de los elementos que la auditora interna
siempre debe considerar en su planificacin y programacin.
Por lo tanto, en base a normas de auditora interna20 y en la experiencia que se ha obtenido en
el levantamiento de riesgos en el Sector Gubernamental, se puede concluir que el rol
fundamental de la auditora interna en el Proceso de Gestin de Riesgos ser proveer
aseguramiento objetivo a la direccin sobre la efectividad de las actividades del proceso de
gestin de riesgos para ayudar a asegurar que los riesgos claves de negocio estn siendo
gestionados apropiadamente y que el sistema de control interno est siendo operado
efectivamente.
En las organizaciones se debe comprender que la Jefatura Superior siempre mantiene la
responsabilidad de la gestin de riesgo y que los auditores internos deben proveer asesora, y
motivar las decisiones gerenciales sobre riesgos, y no tomar decisiones sobre gestin de
riesgo.
Estas directrices21 deben afectar en forma gradual el enfoque y las orientaciones con las que
en la actualidad se definen las actividades de auditora:
1.- Roles para la auditora interna en el Proceso de Gestin de Riesgos en el Sector
Gubernamental
Los principales factores que los auditores internos deben tomar en cuenta cuando determinen
el rol de auditora interna son si la actividad representa alguna amenaza sobre la
independencia y objetividad al realizar su trabajo, y si podra mejorar los Procesos de Gestin
de Riesgo y el control interno en la organizacin.
1.1.- Principales Roles recomendados en el Proceso de Gestin de Riesgos en el Sector
Gubernamental
Realizar evaluacin y entregar aseguramiento sobre el Proceso de Gestin de Riesgo a la
direccin.
Brindar aseguramiento de que los riesgos son correctamente evaluados en el Proceso de
Gestin de Riesgos.
Evaluar los procesos de gestin de riesgos.
Revisin del manejo y evaluacin de reportes de riesgos claves.
Evaluar la elaboracin de informes sobre los riesgos clave.
Revisar la gestin de riesgos clave.
20
Normas Generales de Auditora Interna y de Gestin del Colegio de Contadores de Chile y Normas
Internacionales para el Ejercicio Profesional de la Auditora Interna Instituto de Auditores Internos - THEIIA.
21
Adaptado de The Role of Internal Auditing in Enterprise-wide Risk Management, January 2009 THEIIA.
59
1.2.- Algunos Roles que deben realizarse con independencia y objetividad en el Proceso
de Gestin de Riesgos en el Sector Gubernamental
Facilitacin, identificacin y evaluacin de riesgos.

Entrenamiento a la alta direccin sobre respuesta a riesgos.
Coordinacin de actividades del Proceso de Gestin de Riesgos.
Mantenimiento y desarrollo del marco del Proceso de Gestin de Riesgos.
Defender el establecimiento del Proceso de Gestin de Riesgos.
Desarrollo de estrategias de gestin de riesgo para aprobacin de Jefatura de la
Asesorar a la direccin para responder a los riesgos.
Coordinar actividades del Proceso de Gestin de Riesgos.
Consolidar la elaboracin de informes sobre riesgos.
2.- Algunos Roles que auditora interna NO deben realizar en el Proceso de Gestin de
Riesgos en el Sector Gubernamental
Establecer el nivel de Riesgo Aceptado.

Imponer Procesos de Gestin de Riesgos.
Manejar el aseguramiento sobre los riesgos.
Tomar decisiones en respuesta a los riesgos.
Implementar respuestas a riesgos.
Tener roles y responsabilidad de la gestin de los riesgos.
60

ANEXO N 4
GUA BSICA PARA EL LEVANTAMIENTO DE INFORMACIN DE LOS PROCESOS Y
MODELAMIENTO DE RIESGOS22
Con el fin de entregar una gua elemental para mejor comprender la estructura de los procesos
crticos de la organizacin gubernamental y la identificacin de stos, sus subprocesos y
etapas, es posible sealar que un proceso, como concepto, es un conjunto de actividades,
tareas, eventos y responsabilidades que se realizan o suceden con un determinado fin, que
recibe uno o ms insumos o pasos (inputs) y crea un producto de valor para otro usuario o
cliente, formando una cadena orientada a obtener un resultado final (outputs). De su diseo y
documentacin depende el xito de la gestin en la organizacin.
Por consiguiente podemos identificar que los elementos bsicos de un proceso son:
Existencia de un objetivo para el proceso.

La existencia de un conjunto de actividades, tareas, eventos y responsabilidades.
Todas ellas se realizan con un determinado fin.
Reciben uno o ms insumos, pasos o inputs.
Crean un producto de valor para otro usuario o cliente.
Forman una cadena orientada a obtener un resultado final u output.
Para realizar un adecuado anlisis es necesario identificar y describir detalladamente, al mayor

nivel posible, como se conforman los procesos en la institucin.
Un proceso puede descomponerse en un nmero determinado de subprocesos que se
relacionan en que los outputs de unos son los inputs de los siguientes, hasta que el ltimo
subproceso genera como output el producto o servicio final del proceso.
En todo caso, perfectamente podran existir procesos crticos en que, por su naturaleza y
caractersticas particulares, no sea posible desagregarlos en subprocesos. En estos casos, el
anlisis se debe realizar en razn de las etapas que componen el proceso, ya que este
corresponde al mayor nivel de detalle posible de desagregacin.
Las etapas son las principales fases que componen un subproceso o proceso. stas se
conforman por una serie de actividades que se realizan con la finalidad de lograr el objetivo
perseguido en la etapa y que est directamente relacionado con los objetivos de los
subprocesos y el proceso.
El mecanismo de anlisis recomendado por este Consejo de Auditora considera, en primer
lugar, identificar y comprender, entre otros, los siguientes elementos en cada proceso crtico
(Informacin obtenida de la Fase Genrica: Obtencin de Informacin de la organizacin
gubernamental y del Contexto Externo y de la Fase Genrica: Comprensin de los Procesos de
la organizacin y del Contexto Externo):
El tipo de proceso; estratgico o de soporte.

l o los responsables de la gestin.
22
Se recomienda leer en forma complementaria, el Documento Tcnico sobre metodologas para el levantamiento y
modelamiento de procesos, publicado por el Consejo de Auditora.
61
Determinar si existen subprocesos y cules son las etapas que lo componen.

Determinar las actividades que conforman las etapas.
El inicio y fin de cada proceso, subproceso y etapa.
Las personas implicadas que desarrollan el conjunto de actividades, tareas y eventos.
El objetivo o misin del proceso, subprocesos y etapas.
Las entradas o recursos requeridos y los requisitos de calidad de los subprocesos y
procesos.
Las salidas o resultados esperados y los requisitos de calidad de los subprocesos y
procesos.
Los clientes y sus requerimientos (valoracin de las salidas).
Los proveedores y los requerimientos.
Los controles existentes para las entradas y actividades desarrolladas en cada etapa.
La documentacin de apoyo.
Los registros que se generan y que se analizan.
Los indicadores de desempeo que existen para partes o para el total del proceso (de
eficacia y/o eficiencia).
Las metas asociadas a la gestin en los procesos.
Especial atencin debe darse al objetivo operativo de cada etapa, es decir, cual es la finalidad
que sta tiene en la consecucin de la salida o producto del subproceso o proceso, segn
corresponda.
Posteriormente, se deben identificar todos los eventos que podran afectar negativamente la
consecucin del objetivo operativo de cada etapa. Este aspecto es recomendable analizarlo
desde el punto de vista de cmo afectan a dicho objetivo, las amenazas, errores o deficiencias
de las entradas al subproceso o proceso en cada etapa, especialmente, en la etapa que
comienza a ejecutarse un subproceso o proceso y, cmo afectan estas mismas variables, a las
actividades o tareas de gestin y control realizadas en el desarrollo de cada etapa.
Para efecto de este anlisis, las actividades desarrolladas en la etapa tambin consideran en
forma implcita las tareas necesarias para producir y controlar las salidas del subproceso o
proceso.
Este tipo de anlisis tiene como principal finalidad, identificar donde se encuentran, al mayor
nivel de detalle posible, en un determinado proceso, los puntos crticos que deben ser
evaluados y controlados, respecto del nivel de severidad y/o exposicin que presentan los
riesgos que se han identificado en el estudio realizado.
Para efecto de una mejor comprensin de lo previamente sealado, se presenta un esquema
explicativo a continuacin:
62
Esquema Grfico para Desagregacin y Anlisis de Procesos Crticos
PROCESO CRTICO
T
SUBPROCESO 1
SUBPROCESO n
S
T
ETAPA 1
.
S
Objetivos
operativos de la
etapa 1
Objetivos
operativos de la
etapa n
Riesgos
operativos de la
etapa 1
Riesgos
Operativos de la
etapa n
Controles
Mitigantes de los
riesgos
Controles
Mitigantes de los
riesgos
ETAPA n
Actividad n
Actividad n
Actividad 1
Actividad 2
Actividad 1
Actividad 2
Entrada o inputs: Recursos necesarios para producir la salida.

Transformacin: Tareas, actividades y responsabilidades.
Salidas u outputs: Producto, servicio y finalidad del subproceso o proceso.
63

ANEXO N 5
TABLAS DE VALUACIN PARA CONSTRUIR LA MATRIZ DE RIESGOS
1.-
SEVERIDAD DEL RIESGO
1.1.-
Cuadro N 1: Categoras de Probabilidad:
Categora
Valor
Descripcin
Casi certeza
Riesgo cuya probabilidad de ocurrencia es muy alta, es decir, se tiene un alto grado
de seguridad que ste se presente en el ao en curso. (90% a 100%).
Probable
Riesgo cuya probabilidad de ocurrencia es alta, es decir, se tiene entre 66% a 89%
de seguridad que ste se presente en el ao en curso.
Moderado
Riesgo cuya probabilidad de ocurrencia es media, es decir, se tiene entre 31% a

65% de seguridad que ste se presente en el ao en curso.
Improbable
Riesgo cuya probabilidad de ocurrencia es baja, es decir, se tiene entre 11% a 30%
de seguridad que ste se presente en el ao en curso.
Muy improbable
Riesgo cuya probabilidad de ocurrencia es muy baja, es decir, se tiene entre 1% a

10% de seguridad que ste se presente en el ao en curso.
1.2.-
Cuadro N 2: Categoras de Impacto:
Categora
Valor
Catastrficas
Mayores
Moderadas
Menores
Insignificantes
Descripcin
Riesgo cuya materializacin puede generar prdidas financieras ($) que tendrn un
impacto catastrfico en el presupuesto y/o comprometen totalmente la imagen
pblica de la organizacin y del Gobierno. Su materializacin daara gravemente el
desarrollo del proceso y el cumplimiento de los objetivos, impidiendo finalmente que
estos se logren en el ao en curso.
impacto importante en el presupuesto y/o comprometen fuertemente la imagen
pblica de la organizacin y del Gobierno. Su materializacin daara
significativamente el desarrollo del proceso y el cumplimiento de los objetivos,
impidiendo que se desarrollen total o parcialmente en forma normal en el ao en
curso.
impacto moderado en el presupuesto y/o comprometen moderadamente la imagen
pblica de la organizacin y del Gobierno. Su materializacin causara un deterioro
en el desarrollo del proceso dificultando o retrasando el cumplimiento de sus
objetivos, impidiendo que ste se desarrolle parcialmente en forma normal en el ao
en curso.
impacto menor en el presupuesto y/o comprometen de forma menor la imagen
pblica de la organizacin y del Gobierno. Su materializacin causara un bajo dao
en el desarrollo del proceso y no afectara el cumplimiento de los objetivos en el ao
en curso.
Riesgo cuya materializacin no genera prdidas financieras ($) ni compromete de
ninguna forma la imagen pblica de la organizacin y del Gobierno. Su
materializacin puede tener un pequeo o nulo efecto en el desarrollo del proceso y
que no afectara el cumplimiento de los objetivos en el ao en curso.
64
1.3.-
Cuadro N 3: Nivel de Severidad del Riesgo
NIVEL PROBABILIDAD
(P)
Casi Certeza
(5)
Casi Certeza
(5)
Casi Certeza
(5)
Casi Certeza
(5)
Casi Certeza
(5)
Probable
(4)
Probable
(4)
Probable
(4)
Probable
(4)
Probable
(4)
Moderado
(3)
Moderado
(3)
Moderado
(3)
Moderado
(3)
Moderado
(3)
Improbable
(2)
Improbable
(2)
Improbable
(2)
Improbable
(2)
Improbable
(2)
muy improbable (1)
muy improbable (1)
muy improbable (1)
muy improbable (1)
muy improbable (1)
NIVEL IMPACTO
(I)
Catastrficas (5)
Mayores
(4)
Moderadas
(3)
Menores
(2)
Insignificantes (1)
Catastrficas (5)
Mayores
(4)
Moderadas
(3)
Menores
(2)
Insignificantes (1)
Catastrficas (5)
Mayores
(4)
Moderadas
(3)
Menores
(2)
Insignificantes (1)
Catastrficas (5)
Mayores
(4)
Moderadas
(3)
Menores
(2)
Insignificantes (1)
Catastrficas (5)
Mayores
(4)
Moderadas
(3)
Menores
(2)
Insignificantes (1)

S = (P x I)
EXTREMO ( 25)
EXTREMO (20 )
EXTREMO (15 )
ALTO (10)
ALTO (5)
EXTREMO (20)
EXTREMO (16 )
ALTO (12)
ALTO (8)
MODERADO (4)
EXTREMO (15 )
EXTREMO (12 )
ALTO (9)
MODERADO (6)
BAJO (3)
EXTREMO (10 )
ALTO (8)
MODERADO (6)
BAJO (4)
BAJO (2)
ALTO (5)
ALTO (4)
MODERADO (3)
BAJO (2)
BAJO (1)
En el cuadro anterior se muestra el resultado de la combinacin entre las categoras del nivel
de impacto del riesgo y las categoras del nivel de probabilidad de ocurrencia del riesgo, es
decir, el nivel de severidad.
De ese esquema se puede observar que las categoras de impacto tienen una mayor incidencia
en el nivel de severidad asignado, puesto que aunque la probabilidad de ocurrencia sea menor,
al tratarse de riesgos con impactos altos, cualquier materializacin del riesgo (aunque sea en
slo una oportunidad) tendr una consecuencia significativa en el uso de los recursos y en el
cumplimiento de los objetivos del proceso examinado.
Esto explica los casos en que a igual valor, la severidad del riesgo es distinta. A modo de
ejemplo se presentan las siguientes relaciones:
NIVEL PROBABILIDAD
(P)
muy improbable (1)
Probable
(4)
Probable
(4)
Moderado
(3)
NIVEL IMPACTO
(I)
Mayores
(4)
Insignificantes (1)
Moderadas
(3)
Mayores
(4)
65

S = (P x I)
ALTO (4)
MODERADO (4)
ALTO (12)
EXTREMO (12 )

2.- CLASIFICACIN DEL CONTROL CLAVE
2.1.
Diseo del control
Cuadro N 4: Oportunidad de la Aplicacin del Control (O):

Clasificacin
Descripcin
Preventivo (Pv)
Controles claves que actan antes o al inicio de una actividad.
Correctivo (Cr)
Controles claves que actan durante el proceso y que permiten corregir las
deficiencias.
Detectivo (Dt)
Controles claves que slo actan una vez que el proceso ha terminado.
Cuadro N 5: Periodicidad en la Aplicacin del Control (PD):

Clasificacin
Permanente (Pe)
Descripcin
Controles claves aplicados durante todo el proceso, es decir, en cada operacin.
Peridico (Pd)
Controles claves aplicados en forma constante slo cuando ha transcurrido un

perodo especfico de tiempo.
Ocasional (Oc)
Controles claves que se aplican slo en forma ocasional en un proceso.
Cuadro N 6: Automatizacin en la Aplicacin del Control (A):

Clasificacin
Descripcin
100% automatizado (At)
Controles claves incorporados en el proceso, cuya aplicacin es

completamente informatizada. Estn incorporados en los sistemas
informatizados.
Semi automatizado (Sa)
Controles claves incorporados en el proceso, cuya aplicacin es

parcialmente desarrollada mediante sistemas informatizados.
Manual (Ma)
Controles claves incorporados en el proceso, cuya aplicacin no

considera uso de sistemas informatizados.
66
2.2.-
Cuadro N 7: Escala de Clasificacin de la Efectividad de los Controles
CUMPLIMIENTO CON
NORMAS O
REQUISITOS DE
CONTROL
CARACTERSTICAS DISEO CONTROL

CLAVE/FUNDAMENTAL
PERIODICIDAD
(PD)
OPORTUNIDAD
(O)
AUTOMATIZACIN
(A)
CUMPLIMIENTO
ADECUADO
PERMANENTE
PERMANENTE
PERMANENTE
CUMPLIMIENTO
ADECUADO
PERMANENTE
PERMANENTE
PERMANENTE
PREVENTIVO
PREVENTIVO
PREVENTIVO
CORRECTIVO
CORRECTIVO
CORRECTIVO
INFORMATIZADO
SEMI INFORMAT
MANUAL
INFORMATIZADO
SEMI INFORMAT
MANUAL
PERMANENTE
PERMANENTE
PERMANENTE
PERIODICO
PERIODICO
PERIODICO
PERIODICO
PERIODICO
PERIODICO
PERIODICO
PERIODICO
PERIODICO
OCASIONAL
OCASIONAL
OCASIONAL
OCASIONAL
OCASIONAL
OCASIONAL
OCASIONAL
OCASIONAL
OCASIONAL
DETECTIVO
DETECTIVO
DETECTIVO
PREVENTIVO
PREVENTIVO
PREVENTIVO
CORRECTIVO
CORRECTIVO
CORRECTIVO
DETECTIVO
DETECTIVO
DETECTIVO
PREVENTIVO
PREVENTIVO
PREVENTIVO
CORRECTIVO
CORRECTIVO
CORRECTIVO
DETECTIVO
DETECTIVO
DETECTIVO
INFORMATIZADO
SEMI INFORMAT
MANUAL
INFORMATIZADO
SEMI INFORMAT
MANUAL
INFORMATIZADO
SEMI INFORMAT
MANUAL
INFORMATIZADO
SEMI INFORMAT
MANUAL
INFORMATIZADO
SEMI INFORMAT
MANUAL
INFORMATIZADO
SEMI INFORMAT
MANUAL
INFORMATIZADO
SEMI INFORMAT
MANUAL
NO
DETERMINADO
NO
DETERMINADO
NO
DETERMINADO
CUMPLIMIENTO
ADECUADO
CUMPLIMIENTO
ADECUADO
CUMPLIMIENTO
ADECUADO
CUMPLIMIENTO
ADECUADO
CUMPLIMIENTO
ADECUADO
CUMPLIMIENTO
ADECUADO
CUMPLIMIENTO
ADECUADO
INSUFICIENTE
CLASIFICACIN
VALOR DEL
DISEO DEL
CONTROL
OPTIMO
BUENO
MAS QUE
REGULAR
REGULAR
DEFICIENTE
INEXISTENTE
Para examinar un control, en primer lugar debe expresarse con un breve detalle de las
actividades de control realizadas, analizando su nivel de documentacin y segregacin de
funciones (quin autoriza o revisa debe ser distinta a quin ejecuta). Hay que relevar que el
control debe expresarse claramente, sealando qu se hace, cmo se hace, quin lo hace y
cundo lo realiza. Una vez definido, se debe evaluar si el control mitigante asociado a un riesgo
tiene un nivel de cumplimiento adecuado respecto de los requisitos de control bsicos que en
este modelo se han relevado para dar razonable seguridad de cumplimiento de los objetivos y
metas. Esto implica realizar un anlisis integral de los referidos requisitos (segregacin,
autorizacin, formalizacin, etc.) y determinar si stas se cumplen de para un control examinado
en particular.
Producto de este anlisis, se puede dar que los referidos requisitos se cumplan
satisfactoriamente, es decir, que el control est sustentado en una estructura bsica slida.
Posteriormente, se debe seguir con el anlisis del diseo del control, este aspecto es relevante,
ya que los riesgos son por naturaleza dinmicos y requieren que los controles tengan una
estructura que se oriente a la prevencin de la materializacin del efecto de los riesgos
dinmicos.
67

Finalmente, se debe clasificar el nivel de efectividad del control examinado, de acuerdo con el
esquema presentado, asignndole el valor respectivo segn la escala.
En caso que esto no ocurra, es decir, los requisitos no presentan un cumplimiento suficiente en
el control examinado, debe entenderse que su nivel de cumplimiento es insuficiente y
corresponde clasificarlo como si se tratara de un control inexistente, con valoracin de 1, sin que
ya sea necesario evaluar la efectividad en el diseo del control respecto de la ocurrencia del
riesgo.
Por consiguiente, debe clasificarse como inexistente, con nivel de eficiencia del control
examinado de 1, de acuerdo con la escala contenida en el esquema presentado.
Para ver mayores detalles de los requisitos de control adecuado considerados en este modelo
ver Anexo N 9.
Al describir los controles existentes, se debe sealar al menos: la norma o gua que lo instruye,
quin lo realiza, qu actividades desarrolla, cmo las ejecuta y cundo y cmo se evidencia su
cumplimiento (registros documentales o electrnicos en el sistema).
3.-
NIVELES DE CLASIFICACIN DEL NIVEL DE EXPOSICIN AL RIESGO
La exposicin al riesgo est determinada por la severidad del riesgo dividida por la eficiencia
del control asociado a ese riesgo. Estos elementos se obtienen de las relaciones detalladas
previamente en este anexo. A continuacin se presenta la escala de nivel de exposicin al
riesgo que los califica:
Cuadro N 8: Escala del Nivel de Exposicin al Riesgo
INDICADOR DE EXPOSICIN AL
RIESGO
NIVEL SEVERIDAD DEL RIESGO

NIVEL EFICIENCIA DEL CONTROL
VALOR
NIVEL DE EXPOSICIN
AL RIESGO
8,0 25,0
NO ACEPTABLE (Na)
4,0 7,99
MAYOR (Ma)
3,0 3,99
MEDIA (Md)
0,2 - 2,99
MENOR (Me)
Tal como se seal, la escala previamente presentada, ha sido construida en base a la relacin
entre el nivel de severidad del riesgo (Bajo, Moderado, Alto. Extremo) y el nivel de eficiencia del
control asociado a ese riesgo (Deficiente, Regular, Ms que regular, Bueno, ptimo). Dicha
relacin se presenta en el cuadro N 9.
Un primer anlisis de dicha escala observara que los niveles de exposicin al riesgo Mayor y
No Aceptable, pudiesen tener un rango muy extenso de valores; 4,0 a 7,99 y 8,0 a 25 puntos
respectivamente, pero al realizar un anlisis ms riguroso, se debera observar que en realidad
68

los niveles de exposicin al riesgo con valores ms altos, corresponden a las combinaciones
entre los niveles de riesgo ms severos y los niveles de eficiencia del control ms Bajos, o a las
combinaciones entre los riesgos con severidad ms altas y con controles que tienen un nivel
de efectividad slo de Regular.
Por otra parte, los niveles de exposicin al riesgo ms bajos estn conformados por las
combinaciones entre los niveles de riesgos menos severas y los niveles de eficiencia del
control ms altos, o por las combinaciones entre riesgos con severidades Bajas y controles con
niveles de efectividad Deficiente o Regular, o por las combinaciones entre riesgos con
severidad altas, pero con controles con nivel de efectividad ptimo o Bueno.
Por ejemplo, en el cuadro N 9 se observa que el nivel de exposicin al riesgo E1 = 10, (Nivel
de exposicin al riesgo No Aceptable) est conformado por un nivel de severidad del riesgo,
Extremo = 20 y un nivel de efectividad de control, Regular = 2.
En el caso del nivel de exposicin E2 = 4 (Nivel de exposicin al riesgo Mayor), est
conformado por un nivel de severidad del riesgo, Alto = 12 y un nivel de efectividad de control,
Ms que Regular = 3.
Finalmente, el nivel de exposicin E3 = 1 (Nivel de exposicin al riesgo Menor), est
conformado por un nivel de severidad del riesgo, Alto = 5 y un nivel de efectividad de control,
ptimo = 5.
Cuadro N 9: Relaciones Entre Severidad del Riesgo y Efectividad del Control que
Determinan la Escala del Nivel de Exposicin al Riesgo
69

ANEXO N 6
EJEMPLO DE LEVANTAMIENTO DE INFORMACIN DE UN PROCESO
A continuacin se presenta un ejemplo de levantamiento de informacin del subproceso
Compra de bienes y servicios, que forma parte del proceso crtico denominado Compras y
Abastecimiento en una entidad ficticia.
Con la finalidad de lograr una mejor comprensin del ejemplo, se har un anlisis detallado de
los riesgos y controles para las etapas de Seleccin y Adjudicacin.
Cuadro N 1: Levantamiento de Informacin de cada Proceso
Proceso
Subprocesos
Etapas
Planificacin operativa
anual de compras.
.
.
.
Definicin naturaleza del
proceso.
Confeccin y publicacin
de Bases.
Compra de bienes y
servicios.
Compras y
abastecimiento
Seleccin.
Entradas del
subproceso o
proceso
.
.
.
Plan Operativo
de compras.
Adjudicacin.
Recepcin y evaluacin
de bienes y servicios
adquiridos.
.
.
Salidas del
subproceso o
proceso
.
.
.
Bienes y servicios
(insumos)
de
calidad
que
satisfagan
los
requerimientos
para produccin
de
la
organizacin
gubernamental.
....
.
.
.
.
.
.
Cuadro N 2: Levantamiento de Informacin de las Etapas Seleccin y Adjudicacin
Etapas
Etapa
Definicin de la
naturaleza del
proceso de
compras a utilizar
(convenio marco,
licitacin pblica,
privada, trato
directo).
Etapa Confeccin
y publicacin de
bases.
Objetivo
operativo de la
etapa
Definir de acuerdo a
las caractersticas
del bien o servicio a
comprar, la forma
de adquirirlo en el
mercado,
de
conformidad a la
normativa
de
compras.
Actividades de la etapa
Responsables
De gestin
De control
1.- El Comit de Compras, en

base a lo establecido en el
Plan de Compras define cmo
se realizar cada adquisicin
(licitacin pblica, privada o
trato directo).
Comit de Compras
2.- El Jefe de Finanzas

y de la Unidad Jurdica
visan la definicin del
Comit.
1.- Se realiza la definicin de
especificaciones
tcnicas
(caractersticas,
plazos,
volmenes, calidades, etc.).
70
Jefe Finanzas
Jefe Unidad Jurdica
Encargado
de
especificaciones
tcnicas de compras
Etapas
Objetivo
operativo de la
etapa
Responsables
De gestin
De control
2.-Validan y visan la
definicin tcnica.
3.- Confeccionar bases de

licitacin
oportunas
y
completas (de acuerdo con el
procedimiento formal de la
organizacin gubernamental).
Establecer
formalmente bases
administrativas
y
tcnicas adecuadas
a la especificacin
tcnica
de
lo
requerido y que
respeten
la
transparencia
e
igualdad de los
oferentes.
4.Aprobacin
oportuna de las Bases
de Licitacin.
5.- Publicar en diarios en
forma completa, oportuna y
legal
6.- Aclarar en forma completa
e igualitaria las dudas de los
oferentes.
Jefe de
Abastecimiento
y Jefe Unidad
solicitante
Jefe de Finanzas
Jefe de la Unidad
Jurdica
Jefe de la Unidad
Jurdica
Jefe de Servicio
Jefe de Finanzas
Jefe de Finanzas
Jefe de la Unidad
Jurdica
7.- Verificacin que

todas las compras
cuenten
con
una
carpeta
con
antecedentes
de
licitacin,
bases
y
publicacin.
Licitaciones privada y pblica
1.- Recepcin de todas las
ofertas remitidas (igualdad de
oferentes).
2.Chequeo
automatizado
de
cumplimiento
de
Plazos.
Encargado de
anlisis del rea de
compras
Comit de Compras
Encargado Sistema
de Informacin de
Compras
Comit de Compras
3.- Apertura de acuerdo a la

normativa de compras, a
travs
del
sistema
de
Chilecompras.
Etapa
Seleccin
Realizar una
seleccin
transparente,
garantizando la
participacin
igualitaria de los
oferentes.
4.- Participacin de
Ministro de Fe en la
apertura.
5.- Confeccin de acta
de
recepcin
de
ofertas, especificando
da y hora de las
ofertas recibidas.
6.- Confeccin de acta
de apertura con todos
los participantes que
cumplen requisitos.
7.- Entrega de reportes
del sistema al comit
de compras.
71
Encargado del
Sistema de
Informacin de
Compras
Funcionario de la
Unidad Jurdica
Encargado Of. de
Partes
Jefe de Finanzas
Comit de Compras
Ministro de Fe
Encargado del
sistema de compras
y supervisor
Etapas
Objetivo
operativo de la
etapa
Responsables
De gestin
De control
Compra directa
1.- Se designan cotizadores al

interior de la organizacin
gubernamental.
Jefe de Finanzas y
Comit de Compras
2.- Cruces de datos
entre
funcionarios
participantes
del
proceso de compras y
proveedores.
3.- Obtencin de a lo menos

tres cotizaciones en el caso
de trato directo.
Cotizadores
designados.
1.- Evaluacin tcnica,
de acuerdo a criterios
previos y objetivos
dispuestos
en
procedimiento.
2.- Se levanta un acta de

proposicin de adjudicacin
con el fundamento de la
decisin segn desarrollo del
proceso.
Etapa
Adjudicacin
7.Aprobacin
Adjudicacin
72
de
Comit de Compras.
Comit de Compras.
3.- Revisin de la
adjudicacin
para
determinar
su
conformidad
al
procedimiento
y
Bases.
4.- Revisin de la
consistencia
y
legalidad del proceso.
5.- Se verifica que el
proveedor adjudicado
no
tengan
inhabilidades respecto
de funcionarios de la
organizacin
gubernamental
y
cumplan obligaciones
laborales.
6.- Visacin de la
adjudicacin
Adjudicar la compra
al
oferente
que
presente la oferta
ms
conveniente
para
la
organizacin.
Jefe de
Abastecimiento
Jefe de
Abastecimiento
Jefe de la Unidad
Jurdica
Jefe de Finanzas.
Jefe de Recursos
Humanos.
Jefe de la Unidad
Jurdica
Jefe de Servicio o
delegatario.

Cuadro N 3: Ejemplo de Identificacin de Riesgos Asociados a las Actividades Realizadas para Lograr los
Objetivos Operativos de las Etapas Seleccin y Adjudicacin
Etapa
Etapa
Etapa
Objetivo operativo
de la etapa
Riesgos asociados a la
realizacin de las actividades
Licitaciones privada y pblica
2.- Apertura de acuerdo a la

normativa de compras a travs del
sistema de Chilecompras.
3.- Participacin de Ministro de Fe
en la apertura.
Recepcin de ofertas fuera de plazo.

Recepcin de ofertas en forma
distinta a la sealada en las bases.
La apertura no se realiza a travs
del sistema y no se cumple el
procedimiento aprobado.
La apertura se realiza en da y hora
distinta al establecido en las bases.
Ministro
de
Fe
con
incompatibilidades.
4.- Confeccin de acta de

recepcin de ofertas, especificando
da y hora de las ofertas recibidas.
En caso de recepcin en papel, no

se confecciona Acta de recepcin o
sta es incompleta o errnea.
1.- Recepcin de todas las ofertas

remitidas. (Igualdad de oferentes).
Etapa Seleccin
Realizar una seleccin

transparente,
garantizando
la
participacin igualitaria
de los oferentes.
5.- Confeccin de acta de apertura

con todos los participantes que
cumplen con lo requisitos.
6.- Entrega de reportes del sistema

al comit de compras.
Las actas se firman posteriormente

por las personas que no asisten a la
apertura.
No se entregan reportes en forma
oportuna o tienen datos errneos.
Compra directa
1.- Se designan cotizadores al
interior
de
la
organizacin
gubernamental.
2.- Cruces de datos entre
funcionarios
participantes
del
proceso de compras y proveedores
3.- Obtencin de a lo menos tres
cotizaciones en el caso de trato
directo.
1.- Evaluacin tcnica, de acuerdo

a criterios previos y objetivos
dispuestos en procedimientos.
Adjudicar la compra al
oferente que presente la
oferta ms conveniente
para la organizacin.
Etapa
Adjudicacin
2.- Se levanta un acta de

proposicin de adjudicacin con el
fundamento de la decisin segn
desarrollo del proceso.
3.- Revisin de la adjudicacin para
determinar su conformidad al
procedimiento y Bases.
4.- Revisin de la consistencia y

legalidad del proceso.
5.- Se verifica que el proveedor
adjudicado no tenga inhabilidades
73
Designacin de cotizadores
incompatibilidades.
con
No se realizan cruces de datos entre

funcionarios y proveedores
No se cuenta con la informacin
para cruzar datos
Falta de tres cotizaciones para trato
directo sin fundamento.
Cotizaciones
manejadas
favorecer a un proveedor.
para
Errores en evaluacin tcnica.

Adjudicacin con criterios distintos a
los establecidos en la ley, las bases
y los procedimientos.
Adjudicacin no es consistente con
el proceso de evaluacin.
La adjudicacin no es consisten con
las Bases o con el procedimiento
establecido.
El proceso presenta deficiencias
legales de forma o fondo
Inexistencia de antecedentes para
realizar la verificacin
Etapa
Objetivo operativo
de la etapa
realizacin de las actividades
respecto de funcionarios de la
organizacin
gubernamental
y
cumplan obligaciones laborales.
Funcionarios
que
realizan
verificacin no cuentan con las
competencias necesarias.
6.- Visacin de Adjudicacin.
7.- Aprobacin de la adjudicacin.
No se cuenta con
antecedentes
para
operacin.
todos
visar
los
la
El funcionario que aprueba no tiene

la facultades delegadas
Cuadro N 4: Ejemplo de Identificacin de Riesgos Asociados a las Entradas del Subproceso o Proceso
Etapas que afecta
Etapa Seleccin
Objetivo operativo de
la etapa
Realizar una seleccin

transparente,
garantizando
la
participacin igualitaria de
los oferentes.
Entradas al subproceso o
proceso
Plan Operativo de Compras.
Riesgos asociados a las

entradas del subproceso o
proceso
1.- Deficiencias tcnicas en la
formulacin del Plan.
El Plan no representa las
necesidades de compra de la
2.- Falta de aprobacin
autorizacin del Plan.
74

Cuadro N 5: Identificacin de Controles Mitigantes para Cada Riesgo Operativo Asociado a las Actividades
Realizadas en las Etapas de Seleccin y Adjudicacin
Etapas
realizacin de las
actividades
Controles operativos mitigantes clave
Responsables
Licitacin privada y pblica
Recepcin de ofertas fuera

de plazo.
Etapa Seleccin
Recepcin de ofertas en
forma distinta a la sealada
en las bases.
La apertura no se realiza a
travs del sistema y no se
cumple
el
procedimiento
aprobado.
La apertura se realiza en da
y hora distinta al establecido
en las bases.
Ministro
de
Fe
incompatibilidades.
Qu: Chequeo automatizado de plazo.

Cmo: El sistema de informacin ADBG,
contiene un algoritmo que controla y chequea
la hora y la fecha de la apertura.
Cundo: Lo anterior se realiza por cada
apertura para todas las ofertas.
Quin: Este chequeo lo hace el Encargado de
Sistema de Informacin de Compras.
Qu: Chequeo manual de plazo y confeccin
de Acta de Recepcin.
Cmo: En caso de ofertas no recibidas por el
sistema, el encargado de la Oficina de Partes,
levanta un acta con individualizacin de da y
hora de las ofertas recibidas, que es visada por
el Jefe de Finanzas.
Cundo: Esto se hace en cada licitacin para
todos los oferentes.
Quin: Encargado oficina de Partes / Jefe de
Finanzas.
Qu: Chequeo de recepcin y confeccin de
Acta de Apertura.
Cmo: El comit de compras controla el
proceso de recepcin y levanta un Acta de
todas las ofertas recibidas, con participacin de
un Ministro de Fe.
El sistema o el encargado (si son extra
sistema) mantiene los antecedentes de las
consultas y respuestas a los oferentes, con
fecha.
Quin: Comit de Compras / Encargado
Sistema de Compras / Ministro de Fe.
Qu: Revisin uso del sistema.
Cmo: La recepcin y apertura de las ofertas
deben realizarse a travs del portal de
Chilecompras. Este procedimiento es verificado
diariamente, por el Encargado del Sistema de
Informacin mediante un reporte que se emite
en el rea abastecimiento, visado por el
supervisor
Cundo: Diariamente.
Quin: Encargado sistema / supervisor.
Qu: Verificacin de la apertura.
Cmo: Si es una apertura extra sistema, se
debe realizar en dependencias de la
organizacin gubernamental con la asistencia
de un Ministro de Fe, abogado de la Unidad
Jurdica, que certifica que el da y hora
corresponde a las Bases.
Quin: Funcionario unidad jurdica como
Ministro de Fe.
con
Sin control
75
Encargado Sistema
de Informacin de
Compras
Encargado Oficina
de Partes
Jefe de Finanzas
Comit de Compras
Ministro de Fe
Encargado del
Sistema de
Compras
Encargado
Sistema
Informacin
supervisor
Funcionario de
Unidad Jurdica
de
de
su
la
Etapas
realizacin de las
actividades
Las
actas
se
firman
posteriormente
por
las
personas que no asisten a la
apertura.
No se entregan reportes en
forma oportuna o tienen datos
errneos.

Qu: Chequeo de asistencia y visto bueno.
Cmo: En el caso de apertura en soporte de
papel, existe un Acta elaborada por el Comit
de Compras que da cuenta de la apertura
firmada por la entidad y los oferentes presentes
en la apertura, con la asistencia de un Ministro
de Fe.
Cundo: Esto se hace en cada apertura en
soporte papel para todos los oferentes.
Quin: Comit de Compras / Ministro de Fe.
Qu: Revisin de reportes y autorizacin.
Cmo: La informacin se revisa por el
Encargado del Sistema de Compras y se
autoriza por el supervisor.
Cundo: Cada vez que se emite un reporte por
el sistema, y al menos mensualmente.
Quin: Supervisor del Sistema de Informacin
/ Encargado Sistema de Compras.
Responsables
Comit de Compras
Ministro de Fe
Encargado Sistema
de Compras
Supervisor
Compra directa
Designacin de cotizadores
con incompatibilidades.
Qu: Cruce de datos.

Cmo: Se realiza un cruce de datos de los
funcionarios involucrados en el proceso de
compras y los con poder de decisin y los
proveedores frecuentes de la organizacin
gubernamental.
Cundo: Semestralmente.
Quin: Jefe de Recursos Humanos.
Falta de tres cotizaciones

para
trato
directo
sin
fundamento.
Sin control
Cotizaciones manejadas para

favorecer a proveedor.
Errores en
tcnica.
Etapa
Adjudicacin
la
evaluacin
Adjudicacin con criterios

distintos a los establecidos en
la Ley y las bases.
Adjudicacin no es
consistente con el proceso de
evaluacin.
Sin control
Qu: Revisin de la evaluacin y visto bueno.
Cmo: Se analizan las ofertas a travs de los
requisitos establecidos en la Ley, las bases y el
procedimiento, emitiendo un informe tcnico,
con visto bueno del Jefe de Abastecimiento.
Cundo: Esto se realiza por cada proceso de
licitacin.
Quin: El Comit de Compras y Jefe de
Abastecimiento.
Qu: Examen de criterios y aplicacin de
check list.
Cmo: Se revisa cada adjudicacin en contra
de los requisitos de las bases (check list) y
pone visto bueno slo si se cumplen todos los
requisitos.
Cundo: Esto se realiza por cada proceso de
licitacin que se adjudica.
Quin: Jefe de Abastecimiento.
Qu: Chequeo de consistencia.
Cmo: Se revisa y se da visto bueno a la
resolucin de adjudicacin antes de la firma del
Jefe Superior y revisa la consistencia del
proceso.
Cundo: Cada resolucin es revisada y
chequeada.
Quin: Unidad Jurdica.
76
Jefe de Recursos
Humanos
Comit de Compras
Jefe de
Abastecimiento
Jefe de
Abastecimiento
Jefe de la Unidad
Jurdica
Etapas
realizacin de las
actividades
Inexistencia de antecedentes
para realizar la verificacin.
Funcionarios que realizan

verificacin no cuentan con
las competencias necesarias.

Qu: Examen a las competencias y
herramientas de verificacin.
Cmo: Hay un encargado de mantener y
conseguir las herramientas necesarias para
realizar los cruces de datos (bases de datos
pblicas, declaraciones de inters y otros
antecedentes) y de capacitar a los funcionarios
que realizan esta labor en el manejo de bases
de datos y consultas, y en el manejo de la
normativa y jurisprudencia administrativa
asociadas a temas de probidad.
Cundo: El examen de herramientas y la
determinacin de competencias se hace al
menos una vez al ao.
Quin: Jefe de Recursos Humanos
Responsables
Jefe de Finanzas
Jefe de Recursos
Humanos
No se cuenta con todos los

antecedentes para visar la
operacin.
Sin control
El funcionario que aprueba no

tiene
las
facultades
delegadas.
Qu: Chequeo de facultades.

Cmo: se visa la aprobacin, revisando los
aspectos de forma y fondo y las atribuciones
del firmante.
Cundo: Cada adjudicacin y resolucin que
la apruebe es revisada por la unidad Jurdica
de la organizacin gubernamental.
Quin: La Unidad Jurdica previa a la
aprobacin.
Jefe Unidad Jurdica
77

Cuadro N 6: Identificacin de Controles Mitigantes para Cada Riesgo Operativo Identificado Asociado a las
Entradas del Subproceso o Proceso
Etapa que
afecta
Etapa
Seleccin
Riesgos
asociados a las
entradas del
subproceso o
proceso
1.- Deficiencias
tcnicas en la
formulacin del Plan.
El Plan no representa
las necesidades de la
organizacin
gubernamental.
2.Falta
de
aprobacin
o
autorizacin del Plan.
Controles operativos mitigantes claves
Responsables
Qu: Revisin del Plan.

Cmo: Existe informacin en la organizacin
gubernamental histrica acerca
del
gasto
y
adquisiciones de la Organizacin Gubernamental que
maneja el Jefe de Finanzas.
Cundo: Cada Unidad hace llegar a la Comisin de
Planificacin, al 15 de noviembre de cada ao, un
programa operativo anual con los requerimientos y
necesidades para el prximo ao, calendarizadas y
presupuestadas.
Quin: Jefe de Finanzas.
Jefe de Finanzas
Jefe de Cada
Unidad Operativa
Jefe de Servicio
Qu: Participacin en distintos niveles.
Cmo:
Existen
procedimientos
formales
con
participacin de las diversas instancias para definir el
Plan (Comisin de Planificacin), que se revisa y
aprueba anualmente por el Jefe de Servicio previo
informe de la Comisin de Planificacin y del Jefe de
Finanzas.
Cundo: Anualmente.
Quin: Comisin de Planificacin / Jefe de Servicio.
Qu: Aprobacin del Plan.
Cmo: Se revisa el Plan y se consideran los anlisis de
la Comisin de Planificacin y del Jefe de Finanzas
para aprobar, rechazar o modificar el Plan propuesto.
Cundo: Hasta el 30 de diciembre de cada ao.
Quin: Jefe de Servicio.
78
Comisin de
Planificacin
Jefe de Servicio
Comisin de
Planificacin

ANEXO N 7
EJEMPLOS DE TCNICAS DE EVALUACIN DE RIESGOS
La metodologa de evaluacin de riesgos (identificacin, anlisis y valoracin) de una entidad
puede comprender una combinacin de tcnicas, junto con herramientas de apoyo. Por
ejemplo, para la identificacin de riesgos la direccin puede usar talleres interactivos de trabajo
como parte de dicha metodologa, con un monitor que emplee alguna herramienta tecnolgica
para ayudar a los participantes.
Entre los factores que influyen en la seleccin de las tcnicas de evaluacin del riesgo se
cuentan los siguientes:
-
La complejidad del problema y de los mtodos que se necesitan para analizarlo.

La naturaleza y el grado de incertidumbre de la evaluacin del riesgo, basados en la
cantidad de informacin disponible y que se requiere para satisfacer los objetivos.
La amplitud de los recursos requeridos en funcin del tiempo y del nivel de
conocimientos tcnicos, de las necesidades de datos o de los costos.
Si el mtodo puede proporcionar un resultado cuantitativo.
Segn la NCh-ISO 31010:2013 las tcnicas de evaluacin del riesgo (identificacin, anlisis y
valoracin) se pueden clasificar de varias maneras para ayudar a comprender sus cualidades
relativas de solidez y debilidad. En la Norma, cada una de las 31 tcnicas presentadas se
desarrollan en detalle segn la naturaleza de la evaluacin que proporcionan, y se dan
directrices para su aplicabilidad para determinadas situaciones. Algunos ejemplos de las
tcnicas clasificadas como Muy Recomendadas en la norma NCh-ISO 31010:2013 son las
siguientes:
1.- Ejemplos de Tcnicas de Identificacin de Riesgos:
1.1.- Matriz de Consecuencias/Probabilidad
Es un medio de combinar clasificaciones cualitativas o semicuantitativas de consecuencia y
probabilidad para producir un nivel de riesgo o una clasificacin del riesgo. El formato de la
matriz y las definiciones que se apliquen dependen del contexto en el que se usa, y es
importante que se utilice un diseo apropiado a las circunstancias.
La matriz de consecuencia/probabilidad se utiliza para jerarquizar riesgos, orgenes de riesgo o
tratamientos del riesgo sobre la base del nivel de riesgo. Normalmente, se utiliza como una
herramienta de filtrado cuando se han identificado muchos riesgos, por ejemplo, para definir
cules son los riesgos que necesitan anlisis adicionales o ms detallados, cules son los que
se han de tratar primero, o cules se han de referenciar a un nivel de gestin ms elevado.
1.2.- Tormenta de Ideas
Esta tcnica implica el estmulo y el fomento de conversaciones fluidas entre un grupo de
personas competentes, con objeto de identificar los posibles modos de falla y los peligros
asociados, los riesgos, los criterios para la toma de decisiones, y/o las opciones de tratamiento.
El trmino "tormenta de ideas" se utiliza frecuentemente de forma muy imprecisa cuando se
79

aplica a cualquier tipo de debate en grupo. Sin embargo, la tormenta de ideas verdadera
implica tcnicas particulares para tratar de garantizar que se fuerza la imaginacin de las
personas mediante las ideas y declaraciones de otras personas del grupo.
En esta tcnica es muy importante la facilitacin eficaz e incluye la estimulacin del debate
desde el principio, las indicaciones peridicas del grupo sobre otras reas importantes, y la
aceptacin de los resultados obtenidos en el debate (que normalmente suele ser bastante
animado).
1.3.- Tcnica Delphi
Un medio de combinar las opiniones de expertos que puede apoyar la identificacin del origen
y de la influencia, la estimacin de la probabilidad y de la consecuencia, y la valoracin del
riesgo. Es una tcnica de colaboracin para crear el consenso entre expertos. Implica el
anlisis independiente y la votacin de los expertos.
2.- Ejemplos de Tcnicas de Anlisis de Riesgos:
2.1.- Estructura Y SI? (SWIFT)
Es un sistema para ayudar a un equipo en la identificacin de riesgos. Normalmente se utiliza
dentro de un taller de trabajo dirigido. Por lo general est relacionado con una tcnica de
anlisis y valoracin del riesgo.
2.2.- Anlisis de Modos y Efectos de Fallas (FMEA)
Es una tcnica que identifica los modos y mecanismos de falla y sus efectos.
Existen varios tipos de anlisis FMEA: FMEA del Diseo (o del producto), que se aplica a
componentes y a productos; FMEA del Sistema, que se aplica a sistemas; FMEA del Proceso,
que se aplica a procesos de fabricacin y de montaje; FMEA de la organizacin gubernamental
y FMEA del Software.
El FMEA puede ir seguido por un anlisis de criticidad que defina la importancia de cada modo
de falla de forma cualitativa, semicuantitativa o cuantitativa (FMECA2). El anlisis de criticidad
se puede basar en la probabilidad de que el modo de falla provocar la falla del sistema, o en
el nivel de riesgo asociado al modo de falla, o en un nmero de prioridad del riesgo.
3.- Ejemplos de Tcnicas de Valoracin de Riesgos:
3.1.- Anlisis de Peligros y de Puntos Crticos de Control (HACCP)
Es un sistema metdico, proactivo y preventivo para asegurar la calidad del producto, la
fiabilidad y seguridad de los procesos, mediante la medicin y monitoreo de las caractersticas
especficas que se requiere que estn dentro de unos lmites definidos.
3.2.- Anlisis de la Causa Raz (RCA)
El anlisis de una prdida importante para prevenir que vuelva a ocurrir se conoce como
Anlisis de la Causa Raz (RCA), Anlisis de Falla de la Causa Raz (RCFA) o anlisis de
80

prdida. El anlisis RCA se centra en las prdidas de activos debido a diversos tipos de fallas,
mientras que el anlisis de prdidas se aplica principalmente a las prdidas financieras o
econmicas debidas a factores externos o a catstrofes. Este anlisis intenta identificar las
causas raz u originales en vez de tratar nicamente los sntomas inmediatamente obvios. Se
reconoce que la accin correctiva no siempre puede ser totalmente eficaz y que puede ser
necesaria una mejora continua. El anlisis RCA se aplica con bastante frecuencia para la
evaluacin de una prdida importante, pero tambin se puede utilizar para analizar prdidas
sobre una base ms global para determinar donde se pueden realizar mejoras.
Para mayor informacin se recomienda leer la norma NCh-ISO 31010:2013, emitida por el
Instituto Nacional de Normalizacin, INN (www.inn.cl).
81

ANEXO N 8
EJEMPLOS DE RIESGOS Y CONTROLES RELACIONADOS CON EL GOBIERNO
ELECTRNICO
Para identificar adecuadamente los riesgos que pueden afectar los procesos mejorados con
Tecnologa de la Informacin, es necesario tener presentes las siguientes consideraciones
generales:
1) Fragilidad de los Sistemas de Informacin
Al identificar los riesgos en las etapas o actividades de los procesos desagregados, hay que
tener presente que los sistemas de informacin informatizados son vulnerables a una
diversidad de amenazas y atentados por parte de:
Personas tanto internas como externas de la organizacin.

Desastres naturales.
Servicios, suministros y trabajos no confiables e imperfectos.
Incompetencia y las deficiencias cotidianas.
Abuso en el manejo de los sistemas informticos.
Desastres a causa de intromisin, robo, fraude, sabotaje o interrupcin de las
actividades de cmputos.
2) Inseguridad de la Informacin
Otro punto importante a considerar, al identificar los riesgos en los procesos desagregados, es
que la informacin contenida en soporte electrnico, en trminos generales puede presentar las
siguientes situaciones de riesgo:
Riesgos de Integridad: Este riesgo abarca todos aquellos relacionados con la

autorizacin, completitud y exactitud de la entrada, procesamiento y reportes de las
aplicaciones utilizadas en una organizacin. Estos riesgos existen en cada aspecto de
un sistema de soporte de procesamiento de negocio y estn presentes en la Interfase
del usuario, procesamiento de errores y administracin de cambios.
Riesgos de Usabilidad: Se refiere a los riesgos relacionados al uso oportuno de la
informacin creada por una aplicacin. Estos riesgos se relacionan directamente a la
informacin de toma de decisiones (Informacin y datos correctos de una
persona/proceso/sistema correcto en el tiempo preciso permiten tomar decisiones
correctas).
Riesgos de Acceso: Estos riesgos se enfocan al inapropiado acceso a sistemas, datos
e informacin. Abarcan los riesgos de segregacin inapropiada de trabajo, los riesgos
asociados con la integridad de la informacin de sistemas de bases de datos y los
riesgos asociados a la confidencialidad de la informacin.
Riesgos de Recuperabilidad: Relacionados con las deficiencias en las tcnicas de
recuperacin/restauracin usadas para minimizar la ruptura de los sistemas y los
Backups y planes de contingencia que controlan desastres en el procesamiento de la
informacin, entre otros.
82
Riesgos en la Infraestructura: Estos riesgos se refieren a que en las organizaciones

no existe una estructura de informacin tecnolgica efectiva (hardware, software, redes,
personas y procesos) para soportar adecuadamente las necesidades futuras y
presentes de los negocios con un costo eficiente.
Riesgos de Seguridad General: Referidos a los Riesgos de choque de elctrico,
riesgos de incendio, de niveles inadecuados de energa elctrica, de radiaciones,
mecnicos, etc.
3) Riesgos Relacionados con los Documentos Electrnicos

Por ltimo, es importante destacar que en las organizaciones, cuyas actividades constan en
documentos electrnicos y stos son el respaldo de las transacciones y operaciones que
desarrolla la institucin, pueden presentarse algunos riesgos relacionados con stos
documentos, que deben ser considerados:
Riesgos de Autorizacin: Relacionados al hecho que la informacin electrnica haya

sido creada, procesada, grabada, corregida, enviada, archivada, accesada y destruida
slo por personas autorizadas y responsables.
Riesgo de Autenticacin: Referidos a los medios para verificar la identidad declarada
de un usuario y la autorizacin o denegacin del acceso al sistema, y la forma como la
autenticacin permite a cada lado de la comunicacin asegurarse de que el otro es
quien dice ser.
Riesgo de Integridad: Son aquellos que se relacionan con la exactitud, completitud y
oportunidad de los datos, referidos a la modificacin de la informacin, por error o
intencionalmente.
Riesgos de Confidencialidad: Referidos la capacidad de mantener un documento
electrnico protegido y accesible para su divulgacin o revelacin slo a una lista
determinada de personas autorizadas y responsables.
Riesgos de No Repudio: Relativo a la capacidad del sistema de permitir a cada lado
de la comunicacin, probar fehacientemente que el otro lado ha participado; de tal forma
que el origen no pueda negar haberlo enviado y el destino no pueda negar haberlo
recibido.
Riesgos de Accesibilidad: Relativo a la mantencin de datos disponibles
permanentemente para cumplir con su misin y con sus obligaciones legales,
tributarias y para propsitos de auditora.
Para identificar los controles, se debe tener presente que en el caso de sistemas de
informacin, es posible encontrar controles generales, que pueden intervenir en forma habitual
a los riesgos relevados en los procesos, como los son las polticas y procedimientos aprobados
y difundidos acerca de la seguridad sobre accesos digitales y fsicos, la segregacin de
funciones incompatibles y accesos de control, la retencin, archivo o almacenamiento,
accesibilidad, distribucin y destruccin de documentos electrnicos y otros datos, la
administracin de pistas o rastros de auditora (Audit Trail). Tambin pueden considerarse
como controles generales los contratos con proveedores de servicios de tecnologas de
informacin, la capacitacin y generacin de competencias, las instrucciones sobre correo
electrnico seguro, el monitoreo del cumplimiento de los procedimientos establecidos y la
tecnologa basada en encriptacin de datos, firmas electrnicas y certificados digitales.
83

Por otra parte, es necesario considerar que pueden existir controles especficos para los
riesgos especficos, a saber:
Controles para Riesgos de Autenticacin: Smart card o tokens, Password, Biometra,

PKI Infraestructura de clave pblica, certificados digitales, Firewalls, etc.
Controles para Riesgos de Integridad: Control de acceso a aplicaciones, funciones

automticas que permitan segregacin de funciones, validacin de datos, reportes de
excepciones, controles de secuencia numrica y de coincidencia, control de rastros de
correcciones, firma electrnica, firewalls entre otros.
Controles para Riesgos de No Repudio: Tcnicas criptogrficas, certificados digitales,

firma electrnica avanzada, time stamping, entre otros.
Controles para Riesgos de Autorizacin: Controles de acceso, definicin de perfiles

de usuario en redes, aplicaciones y sistemas; firma electrnica, certificados digitales,
etc.
Controles para Riesgos de Disponibilidad: Controles asociados a la adquisicin,

desarrollo y mantenimiento de sistemas, mecanismos de recuperacin de prdida de
datos, planes de contingencia, polticas de respaldo peridico de la informacin, y otros.
Controles para Riesgos de Confiabilidad: Cifrado o encriptacin, controles de acceso

lgico y fsicos a los sistemas y servidores, procedimientos de manipulacin de copiado,
almacenamiento, transmisin y destruccin, documentos reservados con niveles de
acceso determinados, protocolos de seguridad sobre Internet (SSL), firewalls, entre
otros.
84

ANEXO N 9
CONCEPTOS GENERALES SOBRE REQUISITOS BSICOS DE CONTROL ADECUADO
CONSIDERADOS EN EL MODELO
1. Definicin de Control Interno
El control interno es un proceso llevado a cabo por el consejo de administracin, la direccin
y el resto del personal de una entidad, diseado con el objeto de proporcionar un grado de
seguridad razonable en cuanto a la consecucin de objetivos relacionados con las operaciones,
la informacin y el cumplimiento23.
Esta definicin refleja ciertos conceptos fundamentales. El control interno:
Est orientado a la consecucin de objetivos en una o ms categorasoperaciones,

informacin y cumplimiento.
Es un proceso que consta de tareas y actividades continuases un medio para llegar a un
fin, y no un fin en s mismo.
Es efectuado por las personasno se trata solamente de manuales, polticas, sistemas y
formularios, sino de personas y las acciones que stas aplican en cada nivel de la
organizacin para llevar a cabo el control interno.
Es capaz de proporcionar una seguridad razonableno una seguridad absoluta, al consejo y
a la alta direccin de la entidad.
Es adaptable a la estructura de la entidadflexible para su aplicacin al conjunto de la
entidad o a una filial, divisin, unidad operativa o proceso de negocio en particular.
Esta definicin es intencionadamente amplia. Incluye conceptos importantes que son

fundamentales para las organizaciones respecto a cmo disear, implantar y desarrollar el
control interno, constituyendo as una base para su aplicacin en entidades que operen en
diferentes estructuras organizacionales, sectores y regiones geogrficas.
Respecto de los Procesos de Control se pueden decir que corresponden a las polticas,
procedimientos (manuales y automticas) y actividades, los cuales forman parte de un enfoque
de control, diseados y operados para asegurar que los riesgos estn contenidos dentro del las
tolerancias establecidas por el proceso de evaluacin de riesgos nivel que una organizacin
est dispuesta a aceptar24.
Por su parte, el Control se puede considerar como cualquier medida que tome la direccin, el
Consejo y otras partes, para gestionar los riesgos y aumentar la probabilidad de alcanzar los
objetivos y metas establecidos. La direccin planifica, organiza y dirige la realizacin de las
acciones suficientes para proporcionar una seguridad razonable de que se alcanzarn los
objetivos y metas25.
Se pueden complementar estas definiciones sealando que el control ha sido definido bajo dos
grandes puntos de vista, un punto de vista limitado y un punto de vista amplio.
23
COSO I
COSO I
25
Normas Generales de Auditora Interna y de Gestin del Colegio de Contadores de Chile y Normas
Internacionales para el Ejercicio Profesional de la Auditora Interna THEIIA.
24
85
Desde el punto de vista limitado, puede sealarse que, el control se concibe como la
verificacin a posteriori de los resultados conseguidos en el seguimiento de los objetivos
planteados y el control de gastos invertido en el proceso realizado por los niveles directivos.
Desde un punto de vista amplio, puede sealarse que el control es una actividad no slo a nivel
directivo, sino de todos los niveles y miembros de la entidad, orientando a la organizacin hacia
el cumplimiento de los objetivos propuestos bajo mecanismos de medicin cualitativos y
cuantitativos. Este enfoque hace nfasis en los factores sociales y culturales presentes en el
contexto institucional ya que parte del principio que es el propio comportamiento individual
quien define en ltima instancia la eficacia de los mtodos de control elegidos por la gestin
El control es una etapa primordial en la administracin, pues, aunque una entidad tenga
excelentes controles tericos, una estructura organizacional adecuada y una direccin eficiente,
es necesario que exista un mecanismo que verifique e informe si los hechos y actividades de la
entidad se estn desarrollando segn los objetivos.
2. Tipos de Actividades de Control
Entre los tipos de actividades de control de transacciones ms comunes se encuentran:
Autorizaciones y Aprobaciones: Una autorizacin confirma que una transaccin es vlida

segn los criterios definidos por la organizacin. Una autorizacin se expresa mediante una
conformidad formal proporcionada por una persona con un perfil adecuado y previamente
definido en la organizacin.
Ejemplo: autorizacin de un informe de rendicin de gastos una vez que ha revisado su
razonabilidad y que su monto y naturaleza es consistente con la poltica de la organizacin
en esta materia.
Verificaciones: Las verificaciones comparan dos o ms elementos entre s o bien

comparan un elemento con criterios definidos en una poltica o norma, y llevan a cabo un
seguimiento cuando los dos elementos en cuestin no coinciden o el elemento no es
coherente con los criterios de la poltica o norma.
Ejemplo: comparaciones automatizadas en el sistema para determinar, entre otras cosas;
que est aprobado el pago por el usuario que tenga el perfil adecuado, que existan
comprobantes que justifiquen el desembolso, que se haya pagado el importe correcto y que
est bien registrado el pago.
Controles Fsicos: Los equipos, existencias, valores, efectivo y otros bienes o activos se
resguardan de manera fsica, se contabilizan peridicamente y se comparan con los montos
reflejados en los registros y documento de control.
Ejemplo: bodegas de bienes con acceso restringido y protegidas con guardias o con
vigilancia a travs de cmaras digitales.
Controles sobre Datos Vigentes: Los datos vigentes, como puede ser por ejemplo el
archivo maestro de perfiles de autorizacin en una organizacin, se utilizan a menudo para
contrastar automticamente la autorizacin de determinadas transacciones contra quienes
tienen formalmente esa responsabilidad dentro de un proceso de negocio.
86

Ejemplo: contraste y verificacin de autorizaciones vlidas para la orden de compra, el
envo y la factura; autorizacin de la aplicacin de descuentos pactados segn la poltica de
ventas de la organizacin.
Reconciliaciones: Las reconciliaciones comparan dos o ms elementos de datos y, en

caso de que se identifiquen diferencias, se deben tomar medidas por las personas
responsables para definir los datos correctos.
Ejemplo: Realizar conciliacin diaria sobre el efectivo recibido, con respecto a los saldos
contables, con la finalidad de evaluar su integridad, precisin y validez.
Controles de Supervisin: Los controles de supervisin corresponden a las actividades de

revisin peridicas o permanentes que se realizan sobre las actividades de control de
transacciones habituales y que se asocian a las de mayor riesgo para la organizacin.
Ejemplo: Supervisin peridica de que las modificaciones de los programas fuentes
informticos estn autorizadas por las personas responsables segn la poltica de la
organizacin.
3. Requisitos del Control Adecuado

Un control adecuado es el que est presente si la direccin ha planificado y organizado
(diseado) las operaciones de manera tal que proporcionen un aseguramiento razonable de
que los objetivos y metas de la organizacin sern alcanzados de forma eficiente y
econmica26.
En consideracin a lo anterior, un control, para poder ser declarado como adecuado debe tener
propiedades como las siguientes:
Permitir la correccin de fallas y errores: El control debe detectar e indicar errores de

planeacin, organizacin o direccin.
Contribuir a la previsin de fallas o errores futuros: el control, al detectar e indicar errores
actuales, debe prevenir errores futuros, ya sean de planeacin, organizacin o direccin.
4. Importancia del Control

El control es importante toda vez que permite medir el desempeo organizacional y cmo se
van cumpliendo los objetivos de una entidad. Hasta el mejor de los planes se puede desviar. El
control se emplea entre otros propsitos para:
26
Mejorar la calidad de los procesos y actividades: Las fallas se detectan y el proceso se

corrige para eliminar errores.
Enfrentar el cambio: Este forma parte ineludible del ambiente de cualquier organizacin.
Las directrices de gobierno cambian, el comportamiento de los usuarios de los servicios o
beneficios se modifica, surgen exigencias nuevas, aparecen tecnologa emergentes, se
aprueban o modifican leyes y reglamentos, etc. La funcin del control sirve a la direccin
para responder a las amenazas o las oportunidades de todo ello, porque les ayuda a
Normas Internacionales para el Ejercicio de la Profesin de Auditora Interna - IIA
87
detectar los cambios que estn afectando los productos y los servicios de sus
organizaciones.
Agregar valor: Los tiempos veloces de los ciclos son una manera de obtener ventajas
competitivas. El principal objetivo de una organizacin debera ser "agregar valor" a su
producto o servicio, de tal manera que los usuarios puedan aprovechar eficiente y
eficazmente sus beneficios. Con frecuencia, este valor agregado adopta la forma de una
calidad por encima de la medida lograda aplicando procedimientos de control.
Facilitar la delegacin y el trabajo en equipo: La tendencia contempornea hacia la
administracin participativa tambin aumenta la necesidad de delegar autoridad y de
fomentar que los empleados trabajen juntos en equipo. Esto no disminuye la
responsabilidad ltima de la direccin. Por el contrario, cambia la ndole del proceso de
control. Por tanto, el proceso de control permite que la direccin controle el avance de los
funcionarios, sin entorpecer su creatividad o participacin en el trabajo.
5. Secuencia Tpica de Control Adecuado
Fijacin de estndares: Es la primera etapa del control, que establece los estndares o
criterios de evaluacin o comparacin. Un estndar es una norma o un criterio que sirve de
base para la evaluacin o comparacin de alguna cosa.
Seleccin de puntos crticos de control: Debe definirse cules sern los puntos o
aspectos claves de control que deben monitorearse.
Comparacin y verificacin contra los estndares. Se compara el desempeo con lo
que fue establecido como estndar, para verificar si hay desvo o variacin, esto es, algn
error o falla con relacin al desempeo esperado.
Reporte de desviaciones significativas al nivel jerrquico correspondiente. En el caso
de existir desviaciones del estndar, debe informarse al jefe correspondiente
Tomar acciones correctivas. La accin correctiva es siempre una medida de correccin y
adecuacin de algn desvo o variacin con relacin al estndar esperado.
Determinacin si la accin tomada es efectiva para corregir las desviaciones
tomadas.
Revisar y modificar los estndares si corresponde.
6. Elementos Bsicos Considerados en el Modelo para Determinar un Control Adecuado

Son los medios, mecanismos o procedimientos que permiten alcanzar los objetivos de control.
Comprenden las polticas especficas, los procedimientos, los planes de la organizacin
(incluida la divisin de las tareas) y los dispositivos fsicos (tales como cerraduras o alarmas
contra incendio), si bien no se limitan exclusivamente a estos aspectos. Los controles deben
proporcionar una seguridad razonable de que se logren continuamente los objetivos del control
interno. Para ello, deben ser eficaces y estar diseados de forma que operen como un sistema
integrado y no individualmente.
Los controles, para que sean adecuados, deben cumplir con el propsito previsto en la
aplicacin real. Es posible que los controles diseados para funcionar en un ambiente manual
no sean eficaces en uno automatizado. Por consiguiente, los controles seleccionados deben
cumplir el propsito previsto y funcionar siempre que el caso lo requiera. En cuanto a su
eficiencia, los controles deben estar diseados para poder obtener el mximo beneficio con un
esfuerzo adecuado. Los controles que se examinen para verificar su adecuacin deben ser los
88

que se utilizan en la prctica y deben ser evaluados peridicamente para asegurar su
aplicacin constante en la prevencin de riesgos.
Los elementos que se presentan a continuacin son los que se utilizan generalmente en una
estructura de control interno adecuada. Los mtodos y procedimientos especficos que se
describen en relacin a cada uno de ellos, no pretenden ser exhaustivos sino que deben ser
considerados como ejemplos. Entre otros se cuentan: la organizacin, la documentacin, el
registro oportuno y adecuado de las transacciones y hechos, autorizacin y ejecucin de las
transacciones y hechos, divisin de las tareas, supervisin y acceso a los recursos y registros y
responsabilidad ante los mismos.
a) Documentacin en Papel y/o Medios Electrnicos
Deben documentarse las estructuras de control interno y todas las transacciones y hechos
internos, incluyendo sus objetivos y procedimientos de control, y todos los aspectos pertinentes
de las transacciones y hechos significativos. Asimismo, la documentacin en papel y
electrnica debe estar disponible y ser fcilmente accesible para su verificacin por el personal
apropiado y los auditores.
La documentacin relativa a las estructuras de control interno debe incluir aspectos sobre la
estructura y polticas de una institucin, sobre sus categoras operativas, objetivos y
procedimientos de control. Esta informacin debe figurar en documentos tales como planes o
guas, las polticas administrativas y los manuales de operacin y de contabilidad.
La documentacin sobre transacciones y hechos significativos debe ser completa y exacta y
facilitar el seguimiento de la transaccin o hecho, antes, durante y despus de su realizacin.
La documentacin de las estructuras de control interno, de las transacciones y de hechos
importantes debe tener un propsito claro, ser apropiada para alcanzar los objetivos de la
institucin y servir a los directivos para controlar sus operaciones y a los auditores para analizar
dichas operaciones.
En los casos en que existen sistemas informticos integrados en la institucin, que generen
como soporte respaldatorio de las operaciones, documentos electrnicos con existencia legal,
se deber obtener evidencia electrnica respecto del origen, firmas, integridad, completitud,
archivo o registro, accesibilidad y disponibilidad y no-repudio de la informacin.
b) Registro Oportuno y Adecuado de las Transacciones y Hechos
Las transacciones y hechos importantes deben registrarse inmediatamente y debidamente
clasificados.
Las transacciones deben registrarse en el mismo momento en que ocurren a fin de que la
informacin siga siendo relevante y til para los directivos que controlan las operaciones y
adoptan las decisiones pertinentes. Ello es vlido para todo el proceso o ciclo de vida de una
transaccin; abarcando el inicio y la autorizacin, todos los aspectos de la transaccin mientras
se realiza y su anotacin final en los registros. Tambin conviene actualizar rpidamente toda
la documentacin con objeto de mantener su validez.
89

Se requiere, asimismo, una clasificacin pertinente de las transacciones y hechos a fin de
garantizar que la direccin disponga continuamente de una informacin fiable. Una clasificacin
pertinente significa organizar y procesar la informacin a partir de la cual se elaboran los
informes, los planes y los estados financieros y presupuestarios.
El registro inmediato y pertinente de la informacin es un factor esencial para asegurar la
oportunidad y fiabilidad de toda la informacin que la institucin maneja en sus operaciones y
en la adopcin de decisiones.
En los casos en que existen sistemas informticos integrados en la institucin, que generan
se deber obtener evidencia electrnica respecto de la firma, integridad, completitud y archivo o
registro.
c) Autorizacin y Ejecucin de las Transacciones y Hechos
Las transacciones y hechos relevantes solo podrn ser autorizados en papel o
electrnicamente y ejecutados por aquellas personas que acten dentro del mbito de sus
competencias.
La direccin es quien decide el canje, la transferencia, la utilizacin o la asignacin de fondos
para atender metas especficas en condiciones particulares. La autorizacin es la principal
forma de asegurar que slo se efecten transacciones y hechos vlidos de conformidad con lo
previsto por la direccin. La autorizacin debe estar documentada fsica o electrnicamente y
ser comunicada explcitamente a los directivos y a los empleados, incluyendo los trminos y
condiciones especficos conforme a los cuales se concede una autorizacin. La conformidad
con los trminos de una autorizacin significa que los empleados ejecutan las tareas que les
han sido asignadas de acuerdo con las directrices y dentro del mbito de competencias
establecido por la direccin o la legislacin.
se deber obtener evidencia electrnica respecto del origen, firmas e integridad de la
informacin.
d) Segregacin de Funciones
Las tareas y responsabilidades principales ligadas a la autorizacin, tratamiento, registro y
revisin de las transacciones y hechos deben ser asignadas a personas diferentes.
Con el fin de reducir el riesgo de errores, despilfarros o actos ilcitos, o la probabilidad de que
no se detecten este tipo de problemas, es preciso evitar que todos los aspectos fundamentales
de una transaccin u operacin se concentren en manos de una sola persona o seccin. Las
funciones y responsabilidades deben asignarse sistemticamente a varias personas para
asegurar un equilibrio eficaz entre los poderes. Entre las funciones claves figuran la
autorizacin y el registro de las transacciones, la emisin y el recibo de los haberes, los pagos
y la revisin o fiscalizacin de las transacciones. Sin embargo, la colusin puede reducir o
eliminar la eficacia de esta tcnica de control interno.
90

Una pequea organizacin puede que no tenga suficientes empleados para aplicar esta tcnica
plenamente. En tal caso, la direccin debe ser consciente del riesgo que ello implica y
compensar el defecto con otros controles. La rotacin del personal contribuye a que los
aspectos centrales de las transacciones o hechos contables no se concentren en una sola
persona por un espacio de tiempo prolongado. Debe promoverse e incluso exigirse tambin el
uso del perodo vacacional anual para ayudar a reducir estos riesgos.
e) Supervisin
Debe existir una supervisin para garantizar el logro de los objetivos de control interno.
Los supervisores deben examinar y aprobar cuando proceda, el trabajo encomendado a sus
subordinados. Asimismo, deben proporcionar al personal las directrices y la capacitacin
necesarias para minimizar los errores, el despilfarro y los actos ilcitos y asegurar la
comprensin y cumplimiento de las directrices especificas de la direccin.
La asignacin, revisin y aprobacin del trabajo del personal exige:
Indicar claramente las funciones y responsabilidades del trabajo del empleado.

Examinar sistemticamente el trabajo de cada empleado, en la medida que sea necesario.
Aprobar el trabajo en puntos crticos del desarrollo para asegurarse de que avanza segn lo
previsto.
La asignacin, revisin y aprobacin del trabajo del personal debe tener como resultado el
control apropiado de sus actividades. Ello incluye: la observancia de los procedimientos y
requisitos aprobados, la constatacin y eliminacin de los errores, los malentendidos y las
prcticas inadecuadas, la reduccin de las probabilidades de que ocurran o se repitan actos
ilcitos y el examen de la eficiencia y eficacia de las operaciones. La delegacin del trabajo de
los supervisores no exime a estos de la obligacin de rendir cuentas de sus responsabilidades
y tareas.
f) Acceso a los Recursos y Registros y Responsabilidades Ante los Mismos
El acceso a los recursos y registros debe limitarse a las personas autorizadas para ello,
quienes estn obligadas a rendir cuentas de la custodia o utilizacin de los mismos. Para
garantizar dicha responsabilidad, se debe cotejar peridicamente los recursos con los registros
y verificar si coinciden. La frecuencia de estas comparaciones depende de la vulnerabilidad y
relevancia de los activos.
La restriccin del acceso fsico y lgico a los recursos permite reducir el riesgo de una
utilizacin no autorizada o de prdida y contribuir al cumplimiento de las directrices de la
direccin. El grado de limitacin depende de la vulnerabilidad de los recursos y del riesgo
potencial de prdida. Ambos deben evaluarse peridicamente. Por ejemplo, el acceso a los
documentos sumamente vulnerables y la responsabilidad ante los mismos, tales como cheques
en blanco, puede restringirse:
Mantenindolos en una caja fuerte.

Asignando a cada documento un nmero de serie.
Encargando su custodia a personas responsables.
91
Al determinarse la vulnerabilidad de un activo, debe considerarse tambin su costo, la

facilidad de transporte y el riesgo de prdida o de utilizacin indebida.
se deber obtener evidencia electrnica respecto del origen, firmas, integridad y accesibilidad y
disponibilidad. Adems de deber evaluar los niveles de seguridad de los accesos lgicos a las
base de datos de la organizacin.
7.- Componentes y Principios del Marco Integrado de Control Interno COSO I, versin
2013
El control interno es un proceso llevado a cabo por el consejo de administracin, la direccin y
el resto del personal de una entidad, diseado con el objeto de proporcionar un grado de
seguridad razonable en cuanto a la consecucin de objetivos relacionados con las operaciones,
la informacin y el cumplimiento27.
El Marco COSO versin 1992 fue mejorado en el 201328 a travs de la ampliacin de la
categora de objetivos de la informacin financiera, incluyendo otras formas importantes de
reporting, como por ejemplo la informacin no financiera y el reporting interno. Asimismo, el
Marco COSO I, versin 2013 refleja los cambios en el entorno empresarial y operativo de las
ltimas dcadas, entre los que se incluyen:
Las expectativas de supervisin del gobierno corporativo.

La globalizacin de los mercados y las operaciones.
Los cambios y el aumento de la complejidad de las actividades empresariales.
Demandas y complejidades de las leyes, reglas, regulaciones y normas.
Expectativas de las competencias y responsabilidades.
Uso y dependencia de tecnologas en evolucin.
Expectativas relacionadas con la prevencin y deteccin del fraude.
El Marco COSO I establece tres categoras de objetivos, que permiten a las organizaciones
centrarse en diferentes aspectos del control interno:
Objetivos operativos. Hacen referencia a la efectividad y eficiencia de las operaciones de la

entidad, incluidos sus objetivos de rendimiento financiero y operacional, y la proteccin de
sus activos frente a posibles prdidas.
Objetivos de informacin. Hacen referencia a la informacin financiera y no financiera interna
y externa y pueden abarcar aspectos de confiabilidad, oportunidad, transparencia, u otros
conceptos establecidos por los reguladores, organismos reconocidos o polticas de la propia
entidad.
Objetivos de cumplimiento. Hacen referencia al cumplimiento de las leyes y regulaciones a
las que est sujeta la entidad.
El control interno consta de cinco componentes integrados: Entorno de Control, Evaluacin de

Riesgos, Actividades de Control, Informacin y Comunicacin y Actividades de Supervisin.
27
COSO I
La Versin 2013 del Marco COSO sustituir a la Versin 1992 al final del perodo de transicin, es decir, el 15 de diciembre de
2014.
28
92

Existe una relacin directa entre los objetivos, que es lo que una entidad se esfuerza por
alcanzar, los componentes, que representa lo que se necesita para lograr los objetivos y la
estructura organizacional de la entidad (las unidades operativas, entidades jurdicas y dems).
La relacin puede ser representada en forma de cubo.
Las tres categoras de objetivos operativos, de informacin y de cumplimiento estn
representadas por las columnas.
Los cinco componentes estn representados por las filas
La estructura organizacional de la entidad est representada por la tercera dimensin.
Adems de este Marco, la organizacin COSO public simultneamente el documento Control
Interno sobre la Informacin Financiera Externa: un compendio de mtodos y ejemplos para
proporcionar enfoques prcticos y ejemplos que ilustran cmo los componentes y principios
enunciados en el Marco se pueden aplicar en la preparacin de los estados financieros.
Otra de las publicaciones emitidas por la organizacin COSO es la Gestin de riesgos
Corporativos - Marco Integrado (Marco ERM). Este y el Marco COSO I son complementarios y
no se sustituyen entre s. Sin embargo, aunque estos marcos son diferentes y proporcionan
enfoques distintos, abordan determinadas reas comunes. El Marco ERM abarca tambin el
control interno, y reproduce varias partes del texto del Control Interno - Marco Integrado original
(COSO I).
En consecuencia, el Marco ERM sigue siendo un marco viable y adecuado para el diseo, la
implementacin, la ejecucin y la evaluacin de la gestin de riesgos corporativos.
El Marco COSO I, versin 2013, establece un total de diecisiete principios que representan los
conceptos fundamentales asociados a cada uno de los cinco componentes integrados. Dado
que estos diecisiete principios proceden directamente de los Componentes, una entidad puede
alcanzar un control interno efectivo aplicando todos los principios. La totalidad de los principios
son aplicables a los objetivos operativos, de informacin y de cumplimiento. A continuacin se
enumeran los principios que soportan los componentes del control interno.
Componentes y Principios del Control Interno
Entorno de Control
1. La organizacin demuestra compromiso con la integridad y los valores ticos.
2. La mxima autoridad29 demuestra independencia de la direccin y ejerce la supervisin del
desempeo del sistema de control interno.
3. La direccin establece, con la supervisin del consejo, las estructuras, las lneas de reporte y
los niveles de autoridad y responsabilidad apropiados para la consecucin de los objetivos.
4. La organizacin demuestra compromiso para atraer, desarrollar y retener a profesionales
competentes, en alineacin con los objetivos de la organizacin
5. La organizacin define las responsabilidades de las personas a nivel de control interno para
la consecucin de los objetivos.
29
En las organizaciones del Sector Pblico el equivalente al Consejo es la Mxima Autoridad o Jefe de Servicio.
93

Evaluacin de Riesgos
6. La organizacin define los objetivos con suficiente claridad para permitir la identificacin y
evaluacin de los riesgos relacionados.
7. La organizacin identifica los riesgos para la consecucin de sus objetivos en todos los
niveles de la entidad y los analiza como base sobre la cual determinar cmo se deben
gestionar.
8. La organizacin considera la probabilidad de fraude al evaluar los riesgos para la
consecucin de los objetivos.
9. La organizacin identifica y evala los cambios que podran afectar significativamente al
sistema de control interno.
Actividades de Control
10. La organizacin define y desarrolla actividades de control que contribuyen a la mitigacin
de los riesgos hasta niveles aceptables para la consecucin de los objetivos.
11. La organizacin define y desarrolla actividades de control a nivel de entidad sobre la
tecnologa para apoyar la consecucin de los objetivos.
12. La organizacin despliega las actividades de control a travs de polticas que establecen
las lneas generales del control interno y procedimientos que llevan dichas polticas a la
prctica.
Informacin y Comunicacin
13. La organizacin obtiene o genera y utiliza informacin relevante y de calidad para apoyar el
funcionamiento del control interno.
14. La organizacin comunica la informacin internamente, incluidos los objetivos y
responsabilidades que son necesarios para apoyar el funcionamiento del sistema de control
interno.
15. La organizacin se comunica con los grupos de inters externos sobre los aspectos clave
que afectan al funcionamiento del control interno.
Actividades de Supervisin
16. La organizacin selecciona, desarrolla y realiza evaluaciones continuas y/o independientes
para determinar si los componentes del sistema de control interno estn presentes y en
funcionamiento.
17. La organizacin evala y comunica las deficiencias de control interno de forma oportuna a
las partes responsables de aplicar medidas correctivas, incluyendo la alta direccin y el
consejo, segn corresponda.
Para mayor informacin se recomienda leer el Marco Integrado de Control Interno COSO I,
versin 2013, emitido por la organizacin COSO (www.coso.org).
8.-
Identificacin y Anlisis de Controles Claves
Identificados los riesgos, es necesario identificar y analizar los controles claves existentes en la
institucin, los que tericamente mitigan los riesgos, esto es, todas las medidas que ha tomado
la administracin con la finalidad de evitar la ocurrencia de un riesgo potencial. Estos controles
deben ser evaluados en el nivel de cumplimiento de los elementos de un control adecuado y
94

calificados de acuerdo a su diseo, es decir, su oportunidad (en que momento del proceso se
aplican; preventivos, correctivos, detectivos), periodicidad (si son permanentes, peridicos u
ocasionales), grado de automatizacin (manual, semi automatizado, 100% automatizado) y
evaluados en trminos del cumplimiento de normas especficas de control.
Los controles deben ser identificados con una descripcin del mismo que contenga al menos
los siguientes antecedentes:
Qu se realiza.
Cmo se realiza el control.
Quin lo realiza.
Cundo lo ejecuta.
Por ejemplo, para describir un control de acceso a los servidores de la organizacin
gubernamental, se sugiere:
Restricciones de Acceso (Qu).

Existe una restriccin de acceso a la sala de servidores, ya que slo pueden ingresar
quienes cuentan con tarjeta especial y clave de acceso, la cual slo se entrega a tres
funcionarios responsables de la Divisin de Sistemas (Cmo).
La emisin de tarjeta de autorizacin para el acceso y la entrega de claves se realizan por
el Jefe de la Divisin de Sistemas, previa aprobacin del Jefe de Servicio de los
funcionarios habilitados (Quin).
Las autorizaciones se revisan mensualmente por el Jefe de la Divisin de Sistemas, que
emite un reporte al Jefe de Servicio (Cundo).
Una vez determinada claramente la existencia de todos los controles asociados a los riesgos
relevantes que operan en el proceso en estudio, ser necesario en primer lugar, definir si existe
uno o ms controles asociados a cada riesgo especfico identificado.
Cuando exista ms de un control por riesgo especfico, ser necesario identificar si se trata de
controles cuya presencia es clave o fundamental para mitigar la ocurrencia del riesgo, o si
alguno de los controles identificados no tienen esa caracterstica y slo se trata de controles
que no contribuyen significativamente a mitigar el riesgo. En general para este ltimo tipo de
controles, es recomendable informar a la Direccin, para su eliminacin o fortalecimiento, si
corresponde (relacin costo/beneficio).
Cuando se identifique que un riesgo especfico tiene varios controles asociados y stos tienen
distinto nivel de efectividad medida en forma individual, el auditor debe slo evaluar el nivel de
efectividad que se genera al actuar en conjunto los distintos controles clasificados como claves,
desechando para efectos de este anlisis a los controles no fundamentales (ver ejemplo en
pginas siguientes).
El segundo paso corresponde a determinar (identificar, analizar y cuantificar) el nivel de
efectividad de los controles en base al diseo del control y cumplimiento de los elementos de
un control adecuado. Nivel definido por los atributos periodicidad, oportunidad y nivel de
automatizacin del control, en base al esquema que se presenta en la pgina siguiente.
El siguiente paso corresponde a analizar para cada uno de los controles claves identificados
con los riesgos, el grado de cumplimiento de los elementos de un control adecuado.
95

En resumen, lo que se persigue con este procedimiento, no es slo verificar la existencia y el
grado de cumplimiento de normas especficas para todos los controles, sino que evaluar si
existen controles claves o fundamentales asociados a un riesgo en particular y si stos
adems de cumplir con los elementos de un control adecuado, estn diseados con la finalidad
de mitigar los efectos que se puedan producir ante la materializacin del riesgo.
A continuacin se presenta un procedimiento que permite dejar evidencia del anlisis realizado
al auditor. Para este efecto, se sugiere utilizar el siguiente esquema:
Cuadro N 1: Anlisis de Controles Claves
Etapa
Riesgo
Relevante
Descripcin del
Control identificado en el
proceso
( asociado a un riesgo
determinado)
Importancia del control presente para

mitigar los riesgos al interior del proceso
Clave/Fundamental
No es Fundamental
Ejemplo de determinacin de una evaluacin de la efectividad de los controles claves:

i.-
Cuadro N 2: Ejemplo para Identificacin de Controles Claves en la Etapa

Clculo de Horas Extraordinarias
Etapa
Riesgo
Relevante
Descripcin del
Control identificado en el
proceso
( asociado a un riesgo
determinado)
Qu: Registro automatizado.

Cmo: El sistema de control
biomtrico registra las horas
trabajadas y calcula aquellas que
Clculo de
exceden de las 44 horas
horas
ordinarias.
extraordinarias
Cundo: Diariamente registra las
horas y calcula semanalmente
Errores
o
Quin:
responsable
sistema
irregularidades
biomtrico.
en el clculo de
Qu: Visacin
las
horas
Cmo: Se revisa y aprueba el
extraordinarias
clculo de horas para su pago.
Cundo: mensualmente
Quin: Jefe de la Unidad de
remuneraciones
El encargado de remuneraciones
lleva un archivador con el detalle
del las horas extras por
funcionario
96
Importancia del control

presente para mitigar los
riesgos al interior del
proceso
Clave/
No es
fundamental fundamental

En este caso, se identifican tres controles mitigantes asociados directamente o indirectamente
al riesgo Errores o irregularidades en el clculo de las horas extraordinarias, por lo que debe
realizarse en primer lugar un anlisis de la importancia de cada control para mitigar el riesgo,
es decir, determinar si se trata de un control clave.
El resultado del anlisis muestra en el ejemplo que, el control descrito como El encargado de
remuneraciones lleva un archivador con el detalle del las horas extras por funcionario, no es
un control clave, por lo que no se analizar en cuanto al nivel de cumplimiento con los
requisitos o normas que considera el modelo.
ii.- Cuadro N 3: Ejemplo de Anlisis del Cumplimiento de Requisitos del Modelo de
Control en los Controles Mitigantes Examinados
Nivel de cumplimento de los elementos de control adecuado asociado
Niveles de cumplimiento: adecuado, regular, insuficiente
Riesgo Relevante
Documentacin
Registro
Nivel adecuado
Errores
o
irregularidades en
Nivel
el clculo de las
adecuado
horas
extraordinarias
Conclusin respecto del nivel del control: Adecuado
iii.-
Autorizacin
Divisin o
Segregacin
Supervisin
Acceso
Nivel adecuado
Nivel
adecuado
Nivel
adecuado
Nivel
regular
Cuadro N 4: Ejemplo Determinacin de la Efectividad de los Controles Claves
Controles
Claves/fundament
ales
Nivel de
Cumplimiento
de los
elementos de
control
adecuado
El
sistema
biomtrico
de
control
horario,
contiene
un
Adecuado
algoritmo
que
r
e
specto a los
calcula las horas
e
l
e
mentos de
trabajadas,
control del
indicando en forma
modelo
precisa
aquellas
que exceden de las
44 semanales.
Caractersticas en el diseo de los controles

claves/fundamentales
Oportunidad
Periodicidad
Automatizacin
Clasificacin
Valor
Preventivo
(previene
errores y se
encuentra al
principio del
proceso)
Peridico
(a la fecha de
corte mensual
para pago)
Automatizado y
Manual
ptimo
El
jefe
de
remuneraciones
revisa el reporte del
sistema y aprueba
el clculo para su
pago.
97

9.- Limitaciones de un Sistema de Control Interno
Si bien el control interno proporciona una seguridad razonable acerca de la consecucin de los
objetivos de la entidad, existen limitaciones. El control interno no puede evitar que se aplique
un deficiente criterio profesional o se adopten malas decisiones, o que se produzcan
acontecimientos externos que puedan hacer que una organizacin no alcance sus objetivos
operacionales. Es decir, incluso en un sistema de control interno efectivo puede haber fallos.
Las limitaciones pueden ser el resultado de:
La falta de adecuacin de los objetivos establecidos como condicin previa para el control
interno.
El criterio profesional de las personas en la toma de decisiones puede ser errneo y estar
sujeto a sesgos.
Fallos humanos, como puede ser la comisin de un simple error.
La capacidad de la direccin de anular el control interno.
La capacidad de la direccin y dems miembros del personal y/o de terceros, para eludir
los controles mediante connivencia entre ellos.
Acontecimientos externos que escapan al control de la organizacin.
La relacin costo beneficio: El control no debera superar el valor de lo que se quiere
controlar.
Estas limitaciones impiden que la direccin de la entidad gubernamental tenga la seguridad

absoluta de la consecucin de los objetivos de la entidad, es decir, el control interno
proporciona una seguridad razonable, pero no absoluta. A pesar de estas limitaciones
inherentes, la direccin debe ser consciente de ellas cuando seleccione, desarrolle y
despliegue los controles que minimicen, en la medida de lo posible, estas limitaciones.
10.- Descripcin de Controles Claves
Al describir los controles existentes, se debe sealar al menos: la norma o gua que lo instruye,
quin lo realiza, qu actividades desarrolla, cmo las ejecuta y cundo y cmo se evidencia su
cumplimiento (registros documentales o electrnicos en el sistema). Adems como ya se
seal, al describir los controles siempre se deben responder las preguntas, qu?, cmo?,
quin? y cundo?, esto es, debera especificarse qu se hace, cmo o de qu forma se lleva
a efecto el control, quin lo ejecuta y cundo.
98
ANEXO N 10
EJEMPLO: INFORMACIN PARA EL TRATAMIENTO DE RIESGOS
Ranking
Proceso
de
transversal Proceso
procesos Subproceso
(1)
(2)
(3)
(4)
Crditos
Crdito
de
Recuperaci fomento a
n de
mujeres
prestamos microemp
resarias
Recuperaci
n del crdito
Etapa
(5)
Fuente
Riesgo
del
Especfic riesgo
o (6)
(7)
Ejecucin
Falta de
de
garantas
Garantas
Interna
Tipo de
riesgo
(8)
Procesos
Periodo
Efecto potencial
Medicin
en la severidad Responsable
Estrategia Descripcin de la
Indicador
Meta
del
de riesgo y/o
de la
Plazo
genrica estrategia a aplicar
de logro Indicador (16)
efectividad del
estrategia
(13)
(9)
(10)
(14)
(15)
control (11)
(12)
Reducir
Se establecer una Las

acciones
instancia de revisin tienden a mejorar
Porcentaj
del
Comit
de el
control
del
e
Crdito que deber riesgo que es
crditos
revisar cada crdito dbil
sin
y cotejar la garanta estableciendo una
garanta
de acuerdo al tipo instancia
que
de crdito
controle al Comit
(N total
de Crdito y una
Jefe de
6
de
mensual
Se adicionar un aplicacin
al Operaciones meses
crditos
mdulo al sistema sistema.
mensuale
de informacin de Tambin
se
s / N de
crditos, para que si espera disminuir
crditos
un crdito no tiene la
probabilidad
sin
incorporado
el que se concrete la
garanta)
nmero de pliza de falta de garantas
* 100
garanta no permita
cursar el crdito
99
Evidencia
que se
observar
(17)
Carpeta del
crdito
Informacin
del sistema
- 3%
Actas
Comit
Actas de
revisin

ANEXO 11 - 1/2
MATRIZ DE RIESGOS ESTRATGICA FORMATO TIPO
LEVANTAMIENTO DE INFORMACIN DE PROCESOS
Proceso
Transversal
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Proceso
Crtico
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Recursos
Humanos
Capacitacin
Subproceso
Pd.
(1)
Etapas
Objetivos
RIESGOS CRTICOS
Descripcin
Riesgos
Especficos
Probabilidad
Fuente de
Riesgos
Impacto
Severidad del
Riesgo
Tipo de
Riesgo
Clasif.
valor
Clasif
valor
Clasif
valor
Postulacin
10%
Evaluacin
35%
Entrega de
crditos
20%
..
Recuperacin
del crdito
35%
Cobranza
Procesos
Moderado
Moderado
Alto
Recuperacin
del crdito
35%
Cobranza
Econmico
Improb.
Mayores
Alto
Recuperacin
del crdito
35%
Cobranza
Recuperacin
del crdito
35%
Ingreso
fondos
Recuperacin
del crdito
35%
Recuperacin
del crdito
35%
Ingreso
fondos
Obtener el pago
completo
y
oportuno de los
crditos otorgados
a las usuarias
Obtener el pago
completo
y
oportuno de los
crditos otorgados
a las usuarias
Obtener el pago
completo
y
oportuno de los
crditos otorgados
a las usuarias
Obtener el pago
completo
y
oportuno de los
crditos otorgados
a las usuarias
Obtener el pago
completo
y
oportuno de los
crditos otorgados
a las usuarias
Falta
acciones
oportunas
cobranza
de
de
Interna
Insolvencia de
los deudores
Externa
Falta
garantas
Ingreso
inoportuno
incompleto
pagos
de
o
de
Errores en la
digitacin
de
los montos
Procesos
Muy
improb.
Mayores
Alto
Personas
Probable
Moderado
Alto
12
Personas
Moderado
Mayores
Extremo
12
Tecnolgico
Improb.
Mayores
Alto
Interna
Interna
Interna
Ingreso
fondos
Obtener el pago
completo
y
oportuno de los
crditos otorgados
a las usuarias
Problemas en
la
transformacin
de
la
informacin del
sistema
del
Servicio
al
SIGFE
Interna
(1) Ponderacin estratgica del subproceso en relacin a los objetivos del proceso crtico y otras
variables relevantes.
100
C
o
n
T
i
n
a
e
n
l
a
p
g
i
n
a
s
i
g
u
i
e
n
t
e

ANEXO 11 - 2/2
MATRIZ DE RIESGOS ESTRATGICA FORMATO TIPO
VALOR Y CLASIFICACIN DE LA EXPOSICIN AL RIESGO Y EXPOSICIN AL RIESGO PONDERADA
CONTROLES CLAVES EXISTENTES
Riesgo
Descripcin
Controles
(Norma, quin lo realiza,
qu actividades
desarrolla, cmo las
ejecuta y cundo y cmo
se evidencia su
cumplimiento)
V
i
e
n
e
d
e
l
a
p
g
i
n
a
a
n
t
e
r
i
o
r
Cumple
Elementos
de Control
Adecuado
Nivel de
Eficiencia
PD
Etapa
Valor
Nivel
ER
(3)
Valor
ER
(3)
Mayor
Subproceso
Nivel
ER
(3)
Valor ER
(3)
Nivel ER
(3)
Mayor
Mayor
Valor
ER
(3)
Proceso
Valor
Ranking
ERP (4)
0,6
Media
Media
Media
1,05
Nivel
ER
(3)
Valor
ER
(3)
Media
3,8
Media
3,8
Ranking
1
1
menor
2,5
menor
2,5
menor
2,5
0,5
Media
3,8
Qu: Aviso automtico:

Cmo: El Sistema avisa
los vencimiento al Jefe
de Cobranzas
Quin y Cundo: El
Jefe finanzas revisa
mensualmente
las
cobranzas.
Pd
Cr
Media
Mayor
medio
3,8
1,33
Media
3,8
Sin control.
No
aceptable
Mayor
medio
3,8
1,33
Media
3,8
No
Mayor
Mayor
medio
3,8
1,33
Media
3,8
Pe
Pr
Menor
2,4
Menor
2,5
medio
3,8
1,33
Media
3,8
Pe
Pr
Menor
2,4
Menor
2,5
medio
3,8
1,33
Media
3,8
Pd
Cr
Menor
2,7
Menor
2,5
medio
3,8
1,33
Media
3,8
.
.
.
.
.
.
2
3
.
El Comit de crdito no
puede entregar crdito
sin garanta.
Qu:
Validacin
de
pagos:
Cmo y quin: El
Tesorero ingresa los
pagos al sistema que
autovalida los datos.
Para abonos o pagos
fuera de plazo se
requiere autorizacin del
superior.
Cundo: Mensualmente
los reportes los revisa el
jefe de Finanzas
Qu:
Validacin
de
pagos
Cmo: Se ingresan los
pagos al sistema que
autovalida los datos.
Para abonos o pagos
fuera de plazo se
requiere autorizacin del
superior.
Quien: El tesorero.
Cundo: Mensualmente
los reportes los revisa el
jefe de Finanzas.
Qu:
Visacin
transformacin de datos.
Cmo: Se revisa la
transformacin de todos
los datos
Quin: El Jefe de
Finanzas
Cundo: Se revisa la
transformacin antes de
remitirse los datos al
exterior.
(3) ER= Nivel de Exposicin al Riesgo.

(4) ERP= Nivel de Exposicin al Riesgo Ponderada.
101

Documento Tecnico #70 Implantacion Mantencion y Actualizacion Del Proceso de Gestion de Riesgos PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Documento Tecnico #70 Implantacion Mantencion y Actualizacion Del Proceso de Gestion de Riesgos PDF

Uploaded by

Copyright:

Available Formats

DOCUMENTO TCNICO N 70

MINISTERIO SECRETARA GENERAL DE LA PRESIDENCIA

Este documento tiene como principal objetivo facilitar a las

Consejo de Auditora Interna General de Gobierno

II.- OBJETIVO GENERAL DEL DOCUMENTO

III.- RELACIN CON EL ASEGURAMIENTO

IV.- MARCO METODOLGICO PARA EL PROCESO DE GESTIN DE RIESGOS

V.- PROCESO DE GESTIN DE RIESGOS

1.- Conceptos Generales sobre Riesgos

2.- Conceptos Generales sobre Gestin de Riesgos

3.- Modelos para la Gestin de Riesgos

4.- Marco de Trabajo de la Norma NCh ISO 31000:2012

5.- Fases Genricas en el Proceso de Gestin de Riesgos

VI.- CONCEPTOS Y ELEMENTOS A INCORPORAR PARA EL MARCO DE TRABAJO Y

A.- Marco de Trabajo de la Gestin de Riesgos

B.- Mantencin y Mejoramiento del Proceso de Gestin de Riesgos

1.- Fase Establecimiento del Contexto

2.- Fase Identificacin de Riesgos

3.- Fase Anlisis de Riesgos

4.- Fase Valoracin de Riesgos

5.- Fase Tratamiento de Riesgos

6.- Fase Monitoreo y Revisin

7.- Fase Comunicacin y Consultas

C.- Registro del Proceso de Gestin de Riesgos

D.- Reportes del Proceso de Gestin de Riesgos al Consejo de Auditora Interna

Consejo de Auditora Interna General de Gobierno

ANEXO N 1: EJEMPLO ILUSTRATIVO DE POLTICA DE GESTIN DE RIESGOS

ANEXO N 2: EJEMPLO DE DEFINICIN DE ROLES

ANEXO N 3: ROL DE LA AUDITORA INTERNA EN EL PROCESO DE GESTIN DE

ANEXO N 4: GUA BSICA PARA EL LEVANTAMIENTO DE INFORMACIN DE LOS

ANEXO N 5: TABLAS DE VALUACIN PARA CONSTRUIR LA MATRIZ DE RIESGOS

ANEXO N 6: EJEMPLO DE LEVANTAMIENTO DE INFORMACIN DE UN PROCESO

ANEXO N 7: EJEMPLOS DE TCNICAS DE EVALUACIN DE RIESGOS

ANEXO N 8: EJEMPLOS DE RIESGOS Y CONTROLES RELACIONADOS CON EL

ANEXO N 9: CONCEPTOS GENERALES SOBRE REQUISITOS BSICOS DE CONTROL

ANEXO N 10: EJEMPLO: INFORMACIN PARA EL TRATAMIENTO DE RIESGOS

ANEXO N 11: MATRIZ DE RIESGOS ESTRATGICA FORMATO TIPO

Consejo de Auditora Interna General de Gobierno

Como una de las iniciativas tendientes al fortalecimiento de la Auditora Interna considerado

En este mbito, se pone a disposicin de la Administracin del Estado, el Documento Tcnico N

Santiago, Marzo 2015.

Daniella Caldana Fulss

Consejo de Auditora Interna General de Gobierno

Consejo de Auditora Interna General de Gobierno

Consejo de Auditora Interna General de Gobierno

OBJETIVO GENERAL DEL DOCUMENTO

Documentar los procedimientos y facilitar a las Organizaciones Gubernamentales, la

El Proceso de Gestin de Riesgo en las organizaciones gubernamentales, estar regido por el

RELACIN CON EL ASEGURAMIENTO

A la Unidad de Auditora Interna, le corresponder entregar aseguramiento sobre el Proceso de

MARCO METODOLGICO PARA EL PROCESO DE GESTIN DE RIESGOS

El modelo metodolgico para la Gestin de Riesgos en las organizaciones gubernamentales

Consejo de Auditora Interna General de Gobierno

PROCESO DE GESTIN DE RIESGOS

1.- Conceptos Generales sobre Riesgos

La velocidad de riesgo se refiere a la rapidez con la que impacta un riesgo en la entidad, es

En forma complementaria, el documento Risk Assessment in Practice Thought Paper, de la

Consejo de Auditora Interna General de Gobierno

La Gestin de Riesgos es un proceso iterativo que debe contribuir a la mejora

Beneficios Potenciales de la Aplicacin de la Gestin de Riesgos

Mejora las posibilidades de alcanzar los objetivos en la organizacin.

Consejo de Auditora Interna General de Gobierno

Marco Integrado de Gestin de Riesgos COSO II.