administración de riesgos - gobierno del estado de ... · final de un proceso en las ... programa...
TRANSCRIPT
Administración de Riesgos
Enlace de Administración de RiesgosNoviembre 24, 2015
2
Referencia Normativa:ACUERDO MEDIANTE EL CUAL SE ESTABLECEN LAS NORMAS GENERALES DE CONTROL INTERNO PARA LA ADMINISTRACIÓN PÚBLICA ESTATAL. PO DEL GOBIERNO DEL ESTADO, SEPTIEMBRE 28, 2015
TÍTULO PRIMERO
DISPOSICIONES GENERALES.
CAPÍTULO I
Del ámbito de Aplicación y Definiciones.
ARTÍCULO 1º.‐ El presente documento tiene por objeto establecer las normas generales de control
interno que deberán observar los titulares (Rector) de las dependencias y las entidades de la
Administración Pública Estatal , con el fin de implantar los mecanismos de control interno que
coadyuven al cumplimiento de sus metas y objetivos , prevenir los riesgos que puedan afectar el
logro de éstos, fortalecer el cumplimiento de las leyes y disposiciones normativas, generar una
adecuada rendición de cuentas y transparentar el ejercicio de la función pública.
ARTÍCULO 2º.‐ Para los efectos de las presentes normas, se entenderá por:
I. Actividades de control:
Las políticas, procedimientos, técnicas y mecanismos que forman parte integral de la
planeación, implementación, revisión y registro de la gestión de recursos y el aseguramiento
de la confiabilidad de los resultados, encaminados al cumplimiento de las directrices de los
niveles superiores de las dependencias y entidades de la Administración Pública Estatal, a lo
largo de toda su operación; a fin de minimizar la probabilidad de ocurrencia de riesgos
potenciales.
ARTÍCULO 2º.‐ Para los efectos de las presentes normas, se entenderá por:
II. Administración de riesgos:
Es el proceso constante de identificación y análisis de los riesgos que puedan afectar el logro
de los objetivos y metas de las dependencias o entidades de la Administración Pública Estatal,
previstos en los programas sectoriales y operativos anuales, acordes al marco jurídico que rige
su funcionamiento.
ARTÍCULO 2º.‐ Para los efectos de las presentes normas, se entenderá por:
IV. Autocontrol:
A la implantación de mecanismos, acciones y prácticas de supervisión o evaluación de cada
sistema, actividad o proceso, y que es ejecutado de manera automática por sistemas
informáticos, o de manera manual por los servidores públicos y que permite identificar, evitar
y en su caso, corregir con oportunidad los riesgos o condiciones que limiten, impidan o hagan
ineficiente el logro de los objetivos.
ARTÍCULO 2º.‐ Para los efectos de las presentes normas, se entenderá por:
VI. Control correctivo:
Los mecanismos de control que poseen el menor grado de efectividad y operan en la etapa
final de un proceso en las dependencias y entidades de la Administración Pública Estatal, el
cual permite identificar y corregir, o en su caso, subsanar, omisiones o desviaciones.
VII. Control detectivo:
Los mecanismos de control que operan en el momento en que los eventos o transacciones
están ocurriendo en las dependencias y entidades de la Administración Pública Estatal, e
identifican las omisiones o desviaciones antes de que concluya el proceso.
ARTÍCULO 2º.‐ Para los efectos de las presentes normas, se entenderá por:
VIII. Control interno:
Proceso diseñado e implementado para proporcionar una seguridad razonable, con respecto al
logro eficiente y efectivo de los objetivos y metas institucionales, obtener información
confiable y oportuna y cumplir con el marco jurídico correspondiente.
IX. Control preventivo:
Los mecanismos de control que tienen como propósito anticiparse a la posibilidad de que se
ejecuten acciones de las dependencias y entidades de la Administración Pública Estatal, fuera
del marco legal y normativo o que afecten el logro de los objetivos y metas.
ARTÍCULO 2º.‐ Para los efectos de las presentes normas, se entenderá por:
XVII. Mapa de riesgos:
La representación gráfica de uno o más riesgos que permite vincular la probabilidad de
ocurrencia y su impacto en forma clara y objetiva.
XX. Matriz de Administración de Riesgos:
El tablero de control que refleja el diagnóstico general de los riesgos para contar con un
panorama de los mismos e identificar otros con oportunidad en la institución.
ARTÍCULO 2º.‐ Para los efectos de las presentes normas, se entenderá por:
XXII. PTAR:
Programa de Trabajo de Administración de Riesgos.
XXIV. Riesgo:
La probabilidad de que en un evento o acción adversa y su impacto impida u obstaculice el
logro de los objetivos y metas institucionales.
CAPÍTULO IIDe los Responsables de su Aplicación, Seguimiento y Vigilancia.
ARTÍCULO 4º.‐ Las dependencias y entidades deberán clasificar los mecanismos de control
preventivos, detectivos y correctivos. En este sentido las dependencias y entidades deberán
implementar en primer término los preventivos así como privilegiar las prácticas de
autocontrol, para evitar que se produzca un resultado o acontecimiento no deseado o
inesperado.
TÍTULO SEGUNDOMODELO ESTÁNDAR DE CONTROL INTERNO.CAPÍTULO IDe los Objetivos del Control Interno.
ARTÍCULO 8º.‐ Los propósitos del control interno con respecto al logro de los objetivos de las
dependencias y entidades de la Administración Pública Estatal son los siguientes:
I. Promover la efectividad, eficiencia y economía en las operaciones, programas, proyectos y
calidad de los servicios que se brindan a la sociedad;
II. Generar información financiera, presupuestal y de operación, veraz, confiable y oportuna.
III. Propiciar el cumplimiento del marco legal y normativo aplicable a las dependencias y
entidades:
IV. Salvaguardar, preservar y mantener los recursos públicos en condiciones de integridad,
transparencia y disponibilidad para los fines a que están destinados.
CAPÍTULO IIDe las Normas Generales de Control Interno y sus Niveles de Responsabilidad.
ARTÍCULO 11.‐ En el establecimiento y actualización del control interno institucional en las
dependencias o entidades a través de sus titulares y de los servidores públicos que se ubiquen
en sus diversos niveles de responsabilidad, observarán normas para los siguientes elementos
de control interno:
I. Ambiente de Control;
II. Evaluación de Riesgos;
III. Actividades de control;
IV. Información y comunicación; y
V. Supervisión.
SECCIÓN SEGUNDASegunda Norma de Evaluación de Riesgos.
ARTÍCULO 13.‐ Párrafo tres.
La evaluación de riesgos implica la identificación y análisis de los aspectos relevantes
asociados a la consecución de metas y objetivos establecidos en los planes anuales y
estratégicos de las dependencias y entidades, que sirve de base para determinar la forma en
que estos riesgos van a ser minimizados. Una vez que se haya realizado la evaluación del
riesgo, se determinará la forma en que los riesgos van a ser administrados.
TÍTULO TERCEROADMINISTRACIÓN DE RIESGOS.CAPÍTULO IParticipantes y Funciones en la Administración de Riesgos.
ARTÍCULO 35.‐ Los titulares de las instituciones (Rector), en cumplimiento de la segunda
Norma General de Control Interno, se asegurarán de que la metodología a instrumentar para
la administración de riesgos contenga las etapas mínimas previstas en el artículo 37 de estas
disposiciones y se constituya como herramienta de gestión y proceso sistemático. Dichos
titulares instruirán a las unidades administrativas y al Coordinador de Control Interno a iniciar
el proceso de administración de riesgos.
TÍTULO TERCEROADMINISTRACIÓN DE RIESGOS.CAPÍTULO IParticipantes y Funciones en la Administración de Riesgos.
ARTÍCULO 36.‐ La participación del Coordinador de Control Interno y, en su caso, el Enlace de
Administración de Riesgos, designado por el titular de la institución, para efectos de la
administración de riesgos consistirá en:
I. Coordinador de Control Interno: C.P. Mónica Guadalupe Valdés Garza.
a) Acordar con el titular de la institución las acciones a seguir para la instrumentación de las
disposiciones relacionadas con la administración de riesgos establecidas en la presente
disposición;
b) Coordinar el proceso de administración de riesgos y ser el canal de comunicación e
interacción con el titular de la institución y el Enlace de Administración de Riesgos designado;
c) Supervisar que en la administración de riesgos se implementen las etapas mínimas descritas
en el artículo 37 de estas disposiciones;
d) Revisar con el enlace de Administración de Riesgos, el proyecto de los documentos
siguientes:
d.1) Matriz de administración de Riesgos Institucionales;
d.2) Mapa de riesgos Institucional;
d.3) Programa de Trabajo de Administración de Riesgos Institucional;
d.4) Análisis anual de comportamiento de los riesgos; y
d.5) Presentar para aprobación del Titular de la Institución los documentos descritos.
II. Enlace de Administración de Riesgos: Ricardo Reyes Navarro.
a) Ser el canal de comunicación e interacción con el Enlace del Sistema de Control Interno
Institucional y las unidades (C.P. Monserrat Violeta del Rocío De Lira García) administrativas
responsables de la administración de riesgos;
b) Remitir a las unidades administrativas responsables de la administración de riesgos la Matriz de
Administración de Riesgos, Mapa de Riesgos y PTAR y apoyar en su elaboración;
c) Revisar, analizar y consolidar la información de las unidades administrativas para elaborar los
proyectos institucionales de Matriz de Administración de Riesgos, Mapa de Riesgos y PTAR, y
presentarlos a revisión del Enlace del Sistema de Control Interno Institucional;
d) Resguardar la Matriz de Administración de Riesgos y el Mapa de Riesgos Institucionales;
e) Dar seguimiento permanente al PTAR institucional;
f) Integrar la información y evidencia documental, elaborar el proyecto de reporte de avances
consolidado del cumplimiento del PTAR institucional y presentar a revisión del Enlace del Sistema
de Control Interno Institucional; y
g) Realizar el análisis anual del comportamiento de los riesgos.
CAPÍTULO IIEtapas Mínimas de la Administración de Riesgos.
ARTÍCULO 37.‐ La metodología de administración de riesgos que adopten las instituciones
contendrá las etapas mínimas en el siguiente orden, registrándose anualmente en una Matriz
de Administración de Riesgos:
A) EVALUACIÓN DE RIESGOS.
I. Identificación, selección y descripción de riesgos.
II. Clasificación de los riesgos.
III. Identificación de factores de riesgo.
IV. Identificación de los posibles efectos de los riesgos.
V. Valoración inicial del grado de impacto.
VI. Valoración inicial de la probabilidad de ocurrencia.
B) EVALUACIÓN DE CONTROLES.
I. Descripción de los controles existentes para administrar el riesgo;
II. Descripción de los factores que sin ser controles promueven la aplicación de éstos;
III. Descripción del tipo de control preventivo, correctivo y/o detectivo;
IV. Determinación de la suficiencia (documentado y efectivo), deficiencia (no documentado
y/o ineficaz) o inexistencia del control para administrar el riesgo.
C) VALORACIÓN FINAL DEL RIESGO RESPECTO A CONTROLES.
I. Se dará valor final al impacto y probabilidad de ocurrencia del riesgo con la confronta de los
resultados de las etapas de evaluación de riesgo y de controles; y
II. La institución establecerá los criterios necesarios para determinar la valoración final del impacto
y probabilidad de ocurrencia del riesgo, así como su ubicación en el cuadrante correspondiente
del Mapa de Riesgos Institucional, a partir de la suficiencia, deficiencia o inexistencia de los
controles.
Para lo anterior, las instituciones podrán considerar lo siguiente:
i. Los controles son suficientes: la valoración del riesgo pasa a una escala inferior. El
desplazamiento depende de si el control incide en el impacto y/o probabilidad.
ii. Los controles son deficientes: se mantiene el resultado de la valoración del riesgo antes de
controles;
iii. Inexistencia de controles: se mantiene el resultado de la valoración del riesgo antes de
controles.
D) MAPA DE RIESGOS INSTITUCIONAL.
I. Los riesgos se ubican por cuadrantes en la Matriz de Administración de Riesgos y se graficarán
en el Mapa de Riesgos, en función de la valoración final del impacto en el eje horizontal y en la
probabilidad de ocurrencia en el eje vertical; y
II. La representación gráfica del Mapa de Riesgos Institucional puede variar por la metodología
adoptada en la institución, sin embargo, se homologará a los cuadrantes siguientes:
a) Cuadrante I. Riesgo de Atención Inmediata: son críticos por su alta probabilidad de ocurrencia y
grado de impacto, se ubican en la escala de 6 a 10.
b) Cuadrante II. Riesgos de Atención Periódica: son significativos por su alta probabilidad de
ocurrencia ubicada en la escala de valor de 6 a 10 y su bajo grado de impacto del 1 al 5.
c) Cuadrante III. Riesgos de Seguimiento: son menos significativos por su baja probabilidad de
ocurrencia con valor de 1 al 5 y alto grado de impacto del 6 al 10; y
d) Cuadrante IV. Riesgos Controlados: son de baja probabilidad de ocurrencia y grado de impacto,
se ubican en la escala de valor de 1 al 5.
E) DEFINICIÓN DE ESTRATEGIAS Y ACCIONES PARA SU ADMINISTRACIÓN.
Las estrategias constituirán las opciones para administrar los riesgos basados en su valoración
respecto a controles, permiten tomar decisiones y determinar las acciones de control.
Algunas de las estrategias que pueden considerarse independientemente, interrelacionadas o
en su conjunto, son las siguientes:
I. Evitar el riesgo: Se aplica antes de asumir cualquier riesgo. Se logra cuando al interior delos procesos de generan cambios sustanciales por mejora, rediseño o eliminación,resultado de controles suficientes y acciones emprendidas;
II. Reducir el riesgo: Se aplica Preferentemente antes de optar por otras medidas máscostosas y difíciles. Implica establecer acciones dirigidas a disminuir la probabilidad deocurrencia (prevención) y el impacto (contingencia), tales como la optimización de losprocedimientos y la implementación de controles;
III. Asumir el riesgo: se aplica cuando el riesgo se encuentra en un nivel que puede aceptarsesin necesidad de tomar otras medidas de control diferentes a las que se poseen; y
IV. Transferir el riesgo: implica que el riesgo se controle responsabilizando a un tercero quetenga la experiencia y especialización necesaria para asumirlo.
E) DEFINICIÓN DE ESTRATEGIAS Y ACCIONES PARA SU ADMINISTRACIÓN. CONTINUACIÓN.
A partir de las estrategias definidas, se describirán las acciones viables jurídica, técnica,
institucional y presupuestalmente, tales como la implementación de políticas, optimización de
programas, proyectos, procesos, procedimientos y servicios, entre otras.
CAPÍTULO IIISeguimiento de Estrategias, Acciones y Análisis Comparativo de Riesgos.
ARTÍCULO 38.‐ Para la implementación y seguimiento de las estrategias y acciones, se
elaborará un PTAR Institucional, el cual incluirá los riesgos, estrategias y acciones de la Matriz
de Administración de Riesgos Institucional; así como unidad administrativa y responsable de
implementación, fechas de inicio y de término, medios de verificación, los resultados
esperados, fecha de autorización, nombre y firma del titular de la institución.
ARTÍCULO 39.‐ Los titulares (Rector) de las instituciones autorizarán con su firma autógrafa el
PTAR Institucional, La Matriz de Administración de Riesgos y el Mapa de Riesgos Institucional
y los difundirán a los responsables de la administración de los riesgos a más tardar tres días
hábiles posteriores a su suscripción, e instruirán la implementación del PTAR.
ARTÍCULO 40.‐ Los titulares (Rector) de las instituciones presentarán semestralmente en las
sesiones de los comités institucionales, de alta dirección o del órgano de gobierno la
actualización del PTAR Institucional, la Matriz de Administración de Riesgos Institucional y el
Mapa de Riesgos Institucional.
ARTÍCULO 41.‐ El reporte de avances de las acciones PTAR Institucional se realizará
semestralmente, el titular de la institución lo presentará al comité institucional, de alta
dirección o al órgano de gobierno en la sesión ordinaria que corresponda al semestre
reportado y contendrá al menos lo siguiente:
I. Resumen de acciones comprometidas, cumplidas, en proceso y su porcentaje de
cumplimiento;
II. Descripción de las principales problemáticas que obstaculizan el cumplimiento de las
acciones comprometidas y la forma de resolverlas;
III. Resultados alcanzados en relación con los esperados; y
IV. Fecha de autorización, nombre y firma del Titular de la Institución.
ARTÍCULO 42.‐ La evidencia documental y/o electrónica suficiente, competente, relevante y
pertinente que acredite la implementación y avances reportados, será resguardada por los
servidores públicos responsables de las acciones comprometidas en el PTAR Institucional
(Personal que es dueño de proceso y/o responsable de la ejecución de metas establecidas en
el PBR) y estará a disposición de los órganos fiscalizadores.
ARTÍCULO 43.‐ Se realizará un análisis anual del comportamiento de los riesgos, con relación a
los determinados en la Matriz de Administración de Riesgos Institucional del año inmediato
anterior, que considerará al menos los aspectos siguientes:
I. Comparativo del total de riesgos por cuadrante;
II. Variación del total de riesgos y por cuadrante;
III. Riesgos identificados y cuantificados con cambios en la valoración final de probabilidad de
ocurrencia y grado de impacto, así como los modificados en su conceptualización;
IV. Conclusiones sobre los resultados cualitativos de la administración de riesgos; y
V. Fecha de autorización, nombre y firma del titular de la institución.
El resultado anterior, se informará al comité institucional, de alta dirección o al órgano de
gobierno en la sesión ordinaria que corresponda.
Normas. Artículo 11I. Ambiente de Control;II. Evaluación de Riesgos;III. Actividades de control;IV. Información y
comunicación; yV. Supervisión.
Metodología.Artículo 37I. Evaluación de Riesgos.II. Evaluación de Controles.III. Valoración Final de Riesgos
Respecto a Controles.IV. Mapa de Riesgos
Institucional.V. Definición de Estrategias y
Acciones para su Administración.
Alcance. Artículo 13Consecución de Metas y Objetivos del Plan Anual (PBR)
Titular.• Aprobar metodología. Artículo 37.• Autorizar documentos: PTAR Institucional, La
Matriz de Administración de Riesgos y el Mapa de Riesgos Institucional. Artículo 39.
• Presentar actualización semestral PTAR a la alta dirección o al órgano de gobierno. Artículos 40 y 41.
• Presentar análisis anual de comportamiento PTAR a la alta dirección o al órgano de gobierno. Artículo 43.
Coordinador de Control Interno. Artículo 36.• Acordar con Titular acciones a seguir de AR.• Coordinar el proceso de AR.• Revisar documentos de AR.
Enlace de Administración de Riesgos.Artículo 36.• Coordinarse con Enlace del Sistema de
Controles Internos y Responsables de Análisis de Riesgos.
• Resguardar documentos de AR.• Dar seguimiento al PTAR.• Generar reportes semestrales y anuales de
AR.
Responsables de acciones PTAR.• Resguardar evidencias de avances en el PTAR
para organismos fiscalizadores. Artículo 42.
ACUERDO MEDIANTE EL CUAL SE ESTABLECENLAS NORMAS GENERALES DE CONTROLINTERNO PARA LA ADMINISTRACIÓN PÚBLICAESTATAL. PO DEL GOBIERNO DEL ESTADO,SEPTIEMBRE 28, 2015.ADMINISTRACIÓN DE RIESGOS.CALIDAD INSTITUCIONAL.
PLAN DE TRABAJO PARA LA IMPLEMENTACIÓN DE LAADMINISTRACIÓN DE RIESGOS
METODOLOGÍA E INSTRUMENTO DE TRABAJO PARA LAADMINISTRACIÓN DE RIESGOS
Artículo 37.1. Evaluación de Riesgos.2. Evaluación de Controles.3. Valoración Final de Riesgos Respecto a Controles.4. Mapa de Riesgos Institucional.5. Definición de Estrategias y Acciones para su Administración.
TALLER PARA LA DEFINICIÓN DE LA MATRIZ DEADMINISTRACIÓN DE RIESGOS
Selección Descripción
No. de Riesgo Unidad Administrativa R I E S G O
Alineación a Estrategias, Objetivos, o Metas Institucionales
Una vez que se registra la denominación del riesgo, automáticamente se le asigna un número de identificación.
Registrar la Unidad Administrativa que esté involucrada en el riesgo que se haya identificado.
Seleccionar de la lista según corresponda: Estrategia, Objetivo o Meta.
Describir la Estrategia, Objetivo o Meta al que esté alineada el riesgo identificado
Anotar la denominación del riesgo que según la visión de conjunto se haya identificado como relevante y que, de materializarse, pudiera obstaculizar o impedir el logro de objetivos y metas institucionales.
RIESGO.
Se entenderá por riesgo la probabilidad de ocurrencia y el posible impacto de que un evento
adverso (externo o interno) obstaculice o impida el logro de objetivos y metas institucionales.
El riesgo identificado deberá registrarse conforme a la siguiente estructura general de
redacción:
Ejemplos:
Carreteras construidas con mala calidadLicencias y permisos otorgados irregularmentePersonas no elegibles beneficiadas con el programa xyz
Sustantivo Verbo en participio
Adjetivo o adverbio en negativo/ Complemento circunstancial
F A C T O R
Selección Especificar Otro No. de Factor Descripción Clasificación Tipo
Clasificación del RiesgoNivel de decisión
del Riesgo
Seleccionar de la lista (Estratégico, Directivo, Operativo), el nivel de decisión institucional en el que recaería la administración del riesgo identificado.
Seleccionar de la lista: Sustantivo, Administrativo, Legal, Financiero, Presupuestal, De Servicios, De Seguridad, De Obra Pública, De Recursos Humanos, De Imagen, De TIC’s, De Salud, OTRA.
Seleccionar de la lista:Humano, Financiero Presupuestal, Técnico‐Administrativo, TIC´s, Material, Normativo, Entorno.
Identificar y anotar la descripción de las principales circunstancias o situaciones que indican la presencia de un riesgo o que aumenten la probabilidad de que un riesgo se materialice. Registrar como máximo cinco factores.
Aparece automáticamente cuando se registra el factor
Seleccionar Interno o Externo según corresponda.
Cuidar que no sea de naturaleza similar a las opciones proporcionadas
CLASIFICACIÓN DEL FACTOR.
Humano: Conjunto de personas internas o externas que participan directa o indirectamente en
la consecución del objetivo.
Financiero Presupuestal: Recursos financieros y presupuestales necesarios para el logro de
Objetivos.
Técnico‐Administrativo: Estructura orgánica funcional, políticas, sistemas no informáticos,
procedimientos, comunicación e información, que intervienen en la consecución del objetivo.
TIC’s: Sistemas de información requeridos.
Material: Infraestructura y recursos materiales necesarios para el logro del objetivo.
Normativo: Conjunto de leyes, reglamentos, normas y disposiciones que rigen la actuación de
la organización en la consecución del objetivo.
Entorno: Conjunto de condiciones externas a la organización, que inciden en el logro del
objetivo, y ante las cuales no se tiene influencia.
GradoImpacto
ProbabilidadOcurrencia Cuadrante
Posibles efectos del Riesgo
Valoración Inicial
La valoración inicial se lleva a cabo sin considerar los controles existentes.
La escala de valor se deberá relacionar con los factores de riesgo señalados.
Se evalúa en función de los efectos identificados y registrados en el apartado en caso de materializarse el riesgo (10 al de mayor y 1 al de menor magnitud)
Describir las consecuencias que, de materializarse el riesgo identificado, incidirían en el cumplimiento de objetivos o metas institucionales.
Aparece en automático una vez que se valora el Grado de Impacto y la Probabilidad de Ocurrencia
10 10
9 9
8 8
7 7
6 6
5 5
4 4
3 3
2 2
1 1
Influye directamente en el cumpl imiento de la Mis ión, pérdida patrimonia l , incumpl imientos normativos , problemas operativos o de impacto ambienta l o deterioro de la imagen, dejando además s in funcionar tota lmente o por un periodo importante de tiempo los programas o servicios que entrega la insti tución.Dañaría s igni ficativamente el patrimonio, incumpl imientos normativos , problemas operativos , o impacto ambienta l o deterioro de la imagen o logro de los objetivos insti tucionales . Además se requeri ría una cantidad importante de tiempo de l a al ta dirección en investigar y corregir los daños .Causaría , ya sea una pérdida importante en el patrimonio, incumpl imientos normativos , problemas operativos o de impacto ambienta l o un deterioro s igni ficativo de la imagen. Además se requeri ría una cantidad importante de tiempo de la al ta dirección en investigar y corregir los daños .Causa un daño en el patrimonio o imagen, que se puede corregir el el corto tiempo, y no afecta en el cumpl imiento de los objetivos
Riesgo que puede tener un pequeño o nulo efecto en la insti tución.
Tabla de Ponderaciones para la Valoración de RiesgosGrado de ImpactoProbabilidad de Ocurrencia
Catastrófico
Grave
Serio
Moderado
Insignificante
Recurrente
Probable
Posible
Inusual
Remota
Probabilidad de ocurrencia Muy Alta
Probabilidad de ocurrencia Alta
Probabilidad de ocurrencia Media
Probabilidad de ocurrencia Baja
Probabilidad de ocurrencia Muy Baja
C O N T R O L
No. Descripción Tipo
¿Tiene controles?
Para cada control implementado, seleccionar de la lista según corresponda: Preventivo, Detectivo, Correctivo.
Anotar la denominación de cada uno de los principales controles identificados por factor con los que cuenta la institución para administrar los riesgos identificados.
Al seleccionar la opción “SI” de la lista desplegable, se mostrarán las columnas a la derecha para requisitarla información hasta de CINCO principales controles por cada factor.
Seleccionar de la lista para cada uno de los factores identificados, si se cuenta o no con controles, según corresponda.
TIPO DE CONTROL.
Preventivo: El mecanismo específico que tiene el propósito de anticiparse a la posibilidad de
que ocurran situaciones no deseadas o inesperadas que pudieran afectar al logro de los
objetivos y metas.
Detectivo: El mecanismo específico que opera en el momento en que los eventos o
transacciones están ocurriendo, e identifican las omisiones o desviaciones antes de que
concluya el proceso determinado para anticiparse a la posibilidad de que ocurran situaciones
no deseadas o inesperadas que pudieran afectar al logro de los objetivos y metas.
Correctivo: El mecanismo específico que opera en la etapa final de un proceso, el cual permite
identificar y corregir o subsanar en algún grado, omisiones o desviaciones.
Determinación de Suficiencia o Deficiencia del Control
Está Documentado
Está Formalizado
Se Aplica
Es Efectivo
Resultado de la determinación del
Control
RiesgoControlado
Suficientemente
Se registra automáticamente, considerando si existen controles para cada factor y si cada uno de los controles son suficientes.
Se evaluará cada uno de los controles que se tienen implementados para administrar el riesgo identificado.
Estar descrito.Se ha difundido.
Consistentemente.
Cuando se incide en el o los factores de riesgo para disminuir la probabilidad de ocurrencia y/o el grado de impacto.
Se registra automáticamente al
momento de responder si el control cumple o no con los elementos
señalados anteriormente.
Grado de Impacto
Probabilidad de Ocurrencia I II III IV
Valoración Final UBICACIÓN EN CUADRANTES
Mapa de riesgos:La ubicación de los riesgos por cuadrantes se registra automáticamente una vez capturada la valoración final.
Se deberán tener presentes las características de los controles definidos para administrar cada riesgo identificado, tomando como referencia la misma escala de valores utilizados en la valoración inicial.
• La valoración final del riesgo, nunca podrá ser menor a la valoración inicial.
• Si todos los controles del riesgo son suficientes, la valoración final del riesgo deberá ser inferior a la inicial.
• Si algunos de los controles del riesgo son deficientes, o se observa inexistencia de controles, la valoración final del riesgo, deberá ser igual a la inicial.
Estrategia para Administrar el Riesgo Descripción de la(s) Acción(es)
Describir las actividades que se realizarán con base en la estrategia adoptada.
Son las opciones para administrar cada riesgo identificado basado en su valoración respecto a controles que permiten tomar decisiones y determinar las acciones de control.
• Evitar. Se generan cambios sustanciales.• Reducir. Acciones dirigidas a disminuir la probabilidad de ocurrencia y el
impacto.• Asumir. El riesgo se puede aceptar sin tomar otras medidas de control.• Transferir. El riesgo se controla mediante la responsabilización de un
tercero que tenga la experiencia y especialización para asumirlo.
PROGRAMA DE TRABAJO DE ADMINISTRACIÓN DE RIESGOS (PTAR).
De la Matriz de Administración de Riesgos, en automático se importan los siguientes datos:
Unidad Administrativa
ResponsableFecha de Inicio
Fecha de Término
Medios de verificación
Para complementar el PTAR, se agregan los siguientes datos para cada descripción de la acción de control definida previamente en la Matriz de Administración de Riesgos:
No. Riesgo Descripción del RiesgoValor deImpacto
Valor deProbabilidad
Cuadrante Estrategia
No. Factorde Riesgo Factor de Riesgo
Descripción de la acción de control
GRACIAS POR SU ATENCIÓN