OBJETIVO DE AUDITORÍA GUBERNAMENTAL Nº 2

Transcripción

1 PROGRAMA MARCO OBJETIVO DE AUDITORÍA GUBERNAMENTAL Nº 2 DOCUMENTO TECNICO Nº 36 MARZO 2007

2 TABLA DE CONTENIDOS MATERIAS PÁGINA I.- INTRODUCCIÓN 3 II.- OBJETIVO GENERAL DEL DOCUMENTO 4 III.- PROCESO DE GESTIÓN DE RIESGOS Alguns Cncepts sbre Gestión de Riesgs Fases Genéricas en el Prces de Gestión de Riesgs 5 III.- ANÁLISIS DE LAS FASES DEL PROCESO DE GESTIÓN DE RIESGOS EN LAS ENTIDADES GUBERNAMENTALES Estad Actual Relación del Prces de Gestión de Riesgs cn las Matrices de Riesgs Estratégica y Operativa IV.- CONCEPTOS Y ELEMENTOS A INCORPORAR PARA EL PROCESO DE GESTIÓN DE RIESGOS EN LAS ENTIDADES DEL SECTOR GUBERNAMENTAL BAJO EL OBJETIVO GUBERNAMENTAL Nº Fase Establecimient del Cntext Fase Identificación de Riesgs y Oprtunidades Fase Análisis de Riesgs Fase Evaluación de Riesgs Fase Tratamient de Riesgs Fase Mnitre y Revisión Fase Cmunicación y Cnsultas 27 V.- REQUERIMIENTOS ESPECÍFICOS PARA EL OBJETIVO GUBERNAMENTAL DE AUDITORÍA 2007 Nº Fase Establecimient del Cntext Fase Identificación de Riesgs y Oprtunidades 29 1

3 3.- Fase Análisis de Riesgs Fase Evaluación de Riesgs Fase Tratamient de Riesgs Fase Mnitre y Revisión Fase Cmunicación y Cnsultas Flujgrama de tdas las fases del Prces de Gestión de Riesgs y Requerimients Específics para dar cumplimient al Objetiv Gubernamental de Auditría 2007 Nº 2 35 V.- BIBLIOGRAFÍA 37 ANEXO Nº 1 38 ANEXO Nº 2 39 ANEXO Nº 3 41 ANEXO Nº 4 43 ANEXO Nº

4 I.- INTRODUCCIÓN La administración mderna en el Sectr Gubernamental está sujeta al aument de ls distints tips de riesgs y a requerimients tant legales cm de mejra de la eficiencia de sus actividades peracinales, pr l que cntar cn un sistema de cntrl intern eficiente y un Prces de Gestión de Riesgs estructurad, cnsistente y crdinad se vuelven imprescindibles en la actualidad. Sin perjuici que existen una serie de mdels y marcs aceptads en materia de gestión de riesgs, el Cnsej de Auditría ha estimad necesari unificar criteris, cncepts y definicines existentes en trn a la temática referida a la gestión de riesgs en el Sectr Gubernamental. Para dar cumplimient a l anterir, se ha frmulad una metdlgía que se adecue a las características rganizacinales del Sectr Gubernamental, que permita dar el primer pas y sentar las bases para ir avanzand gradualmente hasta llegar a la implantación de mdels integrales en Gestión de Riesgs, dnde la dirección superir será la respnsable de establecer y perar el marc de gestión de riesg en la rganización. Pr tra parte, el rl principal de la auditría interna deberá ser en primer lugar crdinar las actividades para intrducir el Prces de Gestión de Riesgs y psterirmente, prveer aseguramient a la dirección sbre la efectividad de la gestión de ls riesgs. Esta metdlgía aprvecha tds ls esfuerzs realizads en Objetivs Gubernamentales de Auditría de ls últims ds añs, especialmente la cnstrucción de las matrices de riesgs y ls análisis de punts clave en ls prcess crítics. Para este añ se releva que en la actividad de identificación y levantamient de ls prcess crítics en la rganización deben incluirse ls que están baj el aler del Gbiern Electrónic. El dcument se desarrlla estableciéndse su bjetiv general al punt I. Al punt II se señalan alguns cncepts generales sbre gestión de riesgs y se definen en términs glbales, las fases que cmpnen un Prces de Gestión de Riesgs. Al punt III, se desarrlla el análisis de las fases del Prces de Gestión de Riesgs en las entidades gubernamentales. En frma detallada, en el punt IV se señalan ls cncepts y elements que ls Servicis deben incrprar para el Prces de Gestión de Riesgs en las entidades del Sectr Gubernamental baj el bjetiv gubernamental 2007 Nº 2. El punt V resume pr cada fase, ls requerimients específics para el Objetiv Gubernamental Nº 2. Finalmente, se adjuntan cinc anexs, que cntienen ejempls práctics de ls requerimients y elements que deben cnsiderarse para el cumplimient del Objetiv Gubernamental. 3

5 II.- OBJETIVO GENERAL DEL DOCUMENTO Dcumentar ls prcedimients que permitan a las entidades del Estad, cumplir satisfactriamente cn el Instructiv Presidencial N 007 del 4 de diciembre del 2006, en l relativ al Objetiv Gubernamental N 2: Identificar, analizar y cntribuir a la administración de ls riesgs que afecten el cumplimient de ls bjetivs de ls prcess crítics de las institucines y empresas del Estad, realizand para tal efect las siguientes accines: Levantamient de prcess crítics, incluyend ls del Gbiern Electrónic; Cnstruir las matrices de riesgs estratégicas a fin de identificar ls riesgs y cntrles asciads; Prirización de áreas y prcess claves para la rganización, y para el cnjunt del Estad y; Será respnsabilidad de las autridades superires de ls ministeris, servicis y empresas del Estad, la adpción de las medidas tendientes a la administración efectiva de ls riesgs, especialmente aquells de mayr criticidad, infrmand de ell al Cnsej de Auditría Interna General de Gbiern. III.- PROCESO DE GESTIÓN DE RIESGOS 1.- Alguns cncepts sbre Gestión de Riesgs. La Gestión de Riesgs es un prces estructurad, cnsistente y cntinu implementad a través de tda la rganización para identificar, evaluar, medir y reprtar amenazas y prtunidades que afectan el pder alcanzar el lgr de sus bjetivs. Tds en la rganización juegan un rl en el aseguramient de éxit de la Gestión de Riesgs, per la respnsabilidad principal de la identificación y manej de ésts recae sbre la dirección. 1 La definición anterir se puede cmplementar cn trs imprtantes elements: La Gestión de Riesgs es un prces iterativ que debe cntribuir a la mejra rganizacinal a través del perfeccinamient de ls prcess. Puede ser aplicada a tds ls niveles de una rganización, es decir, en ls niveles estratégics, táctics y peracinales. También puede ser aplicada a pryects específics, para sustentar decisines específicas para administrar áreas específicas de riesg. Para cada fase del Prces de Gestión de Riesgs deberían mantenerse registrs adecuads, suficientes cm para satisfacer a una auditría externa certificación independiente. N sól cnsidera la identificación y tratamient de riesgs, sin que también las prtunidades que cntribuyan al lgr de ls bjetivs. La aplicación del marc teóric del Prces de Gestión de Riesgs siempre debe adecuarse a la entidad y al sectr que ésta pertenece. Beneficis ptenciales de la aplicación de la Gestión de Riesgs. Mejran las psibilidades de alcanzar ls bjetivs en la rganización. Incrementa el entendimient de riesgs claves y sus implicacines en la rganización. 1 Cfr. COSO II - ERM 4

6 Se identifica y cmparte la respnsabilidad de la administración de ls riesgs del negci. Genera y frtalece el enfque en asunts que realmente imprtan a la rganización. Cntribuye a disminuir las srpresas y crisis en la rganización. Incrementa la psibilidad de que cambis e iniciativas de pryects puedan ser lgrads en mejr frma. Mejra las capacidades de tmar mayr riesg pr mayres recmpensas sciales y ecnómicas. Genera mayr infrmación y cn más transparencia sbre ls riesgs identificads, tmads y las decisines realizadas. 2.- Fases Genéricas en el Prces de Gestión de Riesgs. Sin perjuici que en la actualidad existen una serie de mdels para la gestión de riesgs de mayr menr difusión, el Cnsej de Auditría ha decidid iniciar esta nueva etapa intrductria en el Prces de Gestión de Riesgs mediante la adpción de un mdel genéric, que en su desarrll y mejra a través del tiemp permita a las entidades gubernamentales adecuarl a trs más específics, si es que aquell fuese necesari. Las fases en que se puede desagregar dich mdel genéric se señalan a cntinuación: Establecimient del cntext: Establecer ls cntexts estratégic, rganizacinal y de gestión en ls cuales tendrá lugar el Prces de Gestión de Riesgs. Deben establecerse ls criteris cntra ls cuales se evaluarán ls riesgs y definirse la estructura de análisis, ls rles y respnsabilidades. Identificación de riesgs y prtunidades: Identificar ls riesgs que pdrían impedir, degradar demrar el cumplimient de ls bjetivs estratégics y perativs de la rganización, así cm las prtunidades que puedan cntribuir al lgr de ls referids bjetivs. Análisis de riesgs: El análisis debería cnsiderar el rang de cnsecuencias ptenciales y cuán prbable es que ls riesgs puedan currir. Cnsecuencia y prbabilidad se cmbinan para prducir un nivel estimad de riesg según la definición de la rganización. Adicinalmente se debe identificar y analizar ls cntrles mitigantes existentes. Evaluación de riesgs: Cmparar ls niveles de riesg encntrads cntra ls criteris de riesg preestablecids (si es que han sid establecids pr la dirección) cnsiderand el balance entre beneficis ptenciales y resultads adverss. Ordenar y pririzar mediante un ranking ls riesgs analizads. Tratamient de riesgs: De acuerd al ranking de riesgs y al nivel de riesg preestablecid pr la rganización (si es que ha sid establecid pr la dirección), definir su tratamient y/ mnitre, desarrlland e implementand estrategias y planes de acción específics, que mantengan el riesg dentr de ls niveles aceptads pr la rganización. Mnitre y revisión: Definir y utilizar mecanisms para mnitrear y revisar el desempeñ del Prces de Gestión de Riesgs y dar cuenta de la evlución del nivel del riesg en prcess crítics para la administración. 5

7 Cmunicación y cnsulta: Definir y utilizar mecanisms para cmunicar y cnsultar cn ls interesads interns y externs, según resulte aprpiad en cada etapa del Prces de Gestión de Riesgs. Dichs mecanisms deben permitir a las autridades tmar decisines en frma prtuna respect de ls riesgs cn mayres desviacines en relación a ls niveles aceptad. En el cuadr N 1 se presenta un esquema representativ de la relación entre las fases genéricas que cmpnen un Prces de Gestión de Riesgs, baj la perspectiva que se ha adptad para el cumplimient del Objetiv Gubernamental de Auditría N 2. Cuadr N 1: Esquema representativ del Prces de Gestión de Riesgs. Si el lectr requiere ahndar en la tería que sustenta la Gestión de Riesgs puede acudir, entre tras, a las siguientes fuentes de infrmación: 6

8 NORMA IRAM Sistema de Gestión de Riesgs. Estándar Australian/Nezelandés AS/NZS 4360:1999. III.- ANÁLISIS DE LAS FASES DEL PROCESO DE GESTIÓN DE RIESGOS EN LAS ENTIDADES GUBERNAMENTALES 1.- Estad Actual En cnsideración a la naturaleza y características del Sectr Gubernamental y, al desarrll de ls Objetivs Gubernamentales de Auditría en ls últims añs, se puede cncluir que las entidades gubernamentales han trabajad, cn distints niveles de prfundidad, en el desarrll de las siguientes fases genéricas del Prces de Gestión de Riesgs antes señalad: Fase Establecimient del Cntext de la Gestión de Riesgs. Fase Identificación de Riesgs. Fase Análisis de Riesgs. Fase Evaluación de Riesgs. La ejecución de estas fases, cuya finalidad principal ha estad relacinada cn el prces de auditría interna, ha permitid identificar ls prcess crítics que afectan en distints niveles a ls bjetivs estratégics y, mediante la desagregación de dichs prcess y el análisis de sus riesgs y cntrles claves asciads a ésts, se ha lgrad cnstruir las Matrices de Riesgs Estratégicas y Operativas, que han sid de gran utilidad para la actividad de auditría interna. Es decir, la auditría interna del Sectr Gubernamental ha sid el impulsr del us de una serie de herramientas que sn parte imprtante del Prces de Gestión de Riesgs. En este camin, deben incrprarse cn mayr fuerza las jefaturas superires y td el persnal de las entidades del Estad, intrduciéndse gradualmente en un prces frmal de gestión de riesgs, que se adecue a las particularidades de cada entidad. Para alcanzar este bjetiv, se debe cmplementar el trabaj en las fases ya realizadas e iniciar y prfundizar en las fases restantes, necesarias para cmenzar a generar un prces de estas características, en frma y cntenid y, que serán desarrlladas en el Objetiv Gubernamental de Auditría N 2, crrespndiend entnces incluir en el trabaj realizad hasta el mment, una serie de materias en las fases que se señalan a cntinuación: Fase Establecimient del Cntext de la Gestión de Riesgs. Establecer la Plítica de Gestión de Riesgs, ls respnsables y sus rles, clasificacines de prcess y pnderacines estratégicas de ls prcess. Para el cas de las entidades gubernamentales que están en cualquiera de ls Sistemas y Etapas del Marc Avanzad del PMG 2007, estas directrices deben incrprarse a la Plítica de Calidad Institucinal cnsiderada en el Sistema de Gestión de Calidad baj nrmas ISO 9001:2000. También debe generarse en esta etapa un diccinari de riesgs, que debe ser aprbad pr la dirección, difundid y cmprendid pr td el persnal. Este element permitirá unificar el lenguaje que actualmente se utiliza, evitand generar incertidumbres y entendimients 7

9 distints, frente a ls cncepts relacinads cn la gestión de riesgs, pr parte de las persnas que se desempeñan en la rganización. Fase Identificación de Riesgs. Identificar las prtunidades, definir las tipificacines de ls riesgs e incrprar al análisis de riesgs el Sistema de Gbiern Electrónic. Fase Evaluación de Riesgs. Frmular un ranking de riesgs pnderad de acuerd a la imprtancia estratégica de ls prcess y subprcess. Fase Tratamient de Riesgs. Identificar e implementar las estrategias para tratar ls riesgs de acuerd a su prirización. Fase Mnitre y Revisión. Cntrlar la implementación de las estrategias para tratar ls riesgs, determinand el avance del tratamient y sus efects en ls riesgs. Fase Cmunicación y Cnsultas. Definir un diagnóstic de ls prcedimients y sistemas para la cmunicación del Prces de Gestión de Riesgs en el Servici (línea base) y establecer una prpuesta para el perid siguiente. El cntenid detallad de cada fase, y ls elements que serán slicitads en cada una de ellas, será tratad en el punt IV de este dcument. 2.- Relación del Prces de Gestión de Riesgs cn las Matrices de Riesgs Estratégica y Operativa Sin perjuici de ls beneficis que en la actualidad representan para las unidades de auditría interna la identificación, el análisis y sistematización de infrmación relativa a riesgs y cntrles a través de la cnstrucción de Matrices de Riesg, en un Prces de Gestión de Riesgs Crprativ esta herramienta adquiere algunas cnntacines especiales: La Matriz de Riesgs es una excelente herramienta de gestión para la rganización, ya que entrega infrmación cntinua sbre la evlución, severidad y expsición de ls riesgs que afectan el cumplimient de ls bjetivs crprativs. Su principal finalidad es entregar infrmación sistematizada, que sirva para apyar a la dirección a cumplir cn la misión, mediante el lgr de ls bjetivs estratégics, táctics y peracinales del Servici. Debe mantenerse siempre actualizada pr ls respnsables de la peración para cada prces, cn la finalidad de mnitrear ls sucess externs e interns que pudieran cambiar la identificación, el estad, el nivel de impact prbabilidad de ls riesgs. La función de auditría Interna es fundamental en la evaluación del levantamient de ls riesgs, de ls niveles de severidad, expsición al riesg y de efectividad de ls cntrles identificads en la Matriz. 8

10 IV.- CONCEPTOS Y ELEMENTOS A INCORPORAR PARA EL PROCESO DE GESTIÓN DE RIESGOS EN LAS ENTIDADES DEL SECTOR GUBERNAMENTAL BAJO EL OBJETIVO GUBERNAMENTAL N 2 En ls párrafs siguientes, se revisará cada una de las fases del Prces de Gestión de Riesgs, determinándse aquells requerimients que deben ser cumplids pr el Servici para efects del Objetiv Gubernamental Nº FASE ESTABLECIMIENTO DEL CONTEXTO En esta fase se cntempla el establecimient de ls cntexts estratégic, rganizacinal y de gestión en ls cuales tendrá lugar el Prces de Gestión de Riesgs Cntext intern y extern Para establecer el cntext rganizacinal intern, es necesari cmprender la rganización, su estructura interna, recurss humans, filsfía y valres, plíticas, misión, metas, bjetivs y estrategias para lgrarls. Para establecer el cntext estratégic extern, es necesari analizar el entrn en que pera la rganización, cnsiderand aspects tales cm ls financiers, peracinales, cmpetitivs, plítics, imagen, sciales, clientes, culturales, legales, prveedres, cmunidad lcal y sciedad. En el Sectr Gubernamental tds ls Servicis han desarrllad esta fase, a l mens parcialmente, a través de la definición de su misión, bjetivs y prducts realizadas en base a las herramientas de gestión entregadas pr la Dirección de Presupuests en el Prgrama de Mejramient de la Gestión de Planificación y Cntrl de Gestión, mediante el establecimient de metas e indicadres y, naturalmente, a través de análisis que se realiza previ y durante la cnfección de la Matriz de Riesg Estratégica. Ell significa que, en general, tda entidad ha identificad y analizad ls elements de su entrn intern y extern. Sin embarg l anterir, existen alguns elements que n han sid analizads pr ls Servicis y que deberán ser incrprads para el desarrll del Objetiv Gubernamental Nº 2. Pr cnsiguiente, dentr del cntext intern, será necesari que el Servici realice ds tareas: a) Establecer la Plítica de Riesgs. La Plítica de Riesgs se debe definir y dcumentar, aprbándse pr la dirección y debe cntener al mens ls siguientes elements: - Objetivs y cmprmiss cn la gestión de riesg. - El alineamient entre la plítica y ls bjetivs estratégics. - El alcance amplitud de la plítica. - Ls prcess a ser utilizads para gestinar ls riesgs. - Ls respnsables de gestinar ls riesgs y las cmpetencias que ests requieren. - El cmprmis de la dirección para la revisión periódica. La Dirección debe asegurar que la Plítica de Riesgs se incluya y sea cherente cn la plítica de Calidad del Servici, y, que sea publicada y cmunicada a través de tds ls niveles de la 9

11 entidad, estableciend respnsables de las cmunicacines. En anex N 1 se entrega un ejempl de plítica de riesgs. b) Establecer ls respnsables y sus rles: Se deben definir, dcumentar y aprbar ls rles de las persnas relacinadas cn las siguientes materias: - Iniciar accines para prevenir reducir ls efects de ls riesgs. - Cntrlar el tratamient de ls riesgs. - Identificar y registrar cualquier prblema relacinad cn la gestión de ls riesgs. - Iniciar, recmendar prveer slucines a través de estrategias. - Verificar a través del mnitre la implementación de las slucines cntenidas en las estrategias. En anex N 2, se presenta un ejempl de asignación de rles y respnsabilidades. Es imprtante señalar que el auditr intern del Servici n puede ser nmbrad cm respnsable en ests temas, ya que se estaría afectand su bjetividad e independencia al mment de auditar el funcinamient y efectividad del Prces de Gestión de Riesgs. En anex Nº 3 se entrega un resumen del rl de la auditría interna en un Prces de Gestión de Riesgs, destacándse aquellas funcines que puede realizar y aquellas que n le están permitidas. c) Establecer un diccinari de riesgs: A nivel teóric se cnsidera la necesidad de frmular un diccinari de riesgs para la entidad. En este cas, cm se trata de una entidad glbal (Sectr Gubernamental), el diccinari de riesgs será cnfeccinad pr el Cnsej de Auditría Interna durante el añ 2007 y será remitid a tds ls Servicis, que deberán utilizarl, sin perjuici que puedan incrprar cncepts cmplementaris prpis a fin de hacer más cmplet el diccinari Cntext de gestión de riesg Para establecer el cntext de gestión debe establecerse y definirse el alcance de aplicación del análisis de riesgs. El cntext de gestión, también está parcialmente desarrllad, si cnsiderams que para el Objetiv Gubernamental Nº 2, se utilizará el mism alcance de aplicación y análisis de riesgs que se ha venid usand pr este Cnsej de Auditría a partir del Dcument Técnic Nº 23, est es, la gestión de riesgs se aplicará a nivel de prcess, desagregads en subprcess, etapas, actividades y riesg específic. Sin embarg l anterir, en esta materia se presentan elements nuevs a incluir, cm sn la clasificación en prcess transversales en la Administración del Estad, la tipificación de riesgs y la pnderación prcentual de la imprtancia estratégica de ls prcess y subprcess en la rganización Prcess Transversales en la Administración del Estad En la actualidad ls Servicis identifican ls prcess que desarrllan de acuerd a las denminacines prpias de cada entidad. Para el desarrll de este Objetiv Gubernamental, ls 10

12 Servicis, además de realizar el levantamient de prcess, deberán clasificar sus prcess en categrías mayres de prcess transversales en la Administración del Estad (Megaprcess). La referida clasificación de ls prcess deberá hacerse cnfrme a ls criteris que se establecen en el siguiente cuadr Nº 2: Cuadr Nº 2: Clasificación y descripción de Prcess Transversales en la Administración del Estad. Prcess Transversales en la Administración del Estad Subsidis a privads de fment Subsidis a privads scial Subsidis a privads asistencial: Transferencias a / de tras entidades públicas Servicis de atención al ciudadan cntraprestación Servicis de atención scial/ previsinal /salud Crédits - recuperación prestams Almacenamient y distribución Infraestructura Asesría a infraestructura Estudis para marc cultural Estudis para regulacines, nrmativa y fijación tarifaria Administración de bienes estratégics Otrgamient y/ recncimient de derechs Mejramient de la gestión Estudis e investigacines Legal estratégic Descripción Prcess de negci Se entienden aquells cuy bjetiv es la prmver, mediante incentivs ecnómics, que ls particulares realicen pr sí misms actividades prductivas. Cuy bjetiv es la prmción de cierts bjetivs sciales cm la integración, etc. Cuya finalidad es entregar ayuda de subsistencia a particulares. Recurss que pr ley cnvenis se entregan reciben de tr rganism del Estad. Prcess que se rienten a servir a tds ls ciudadan a través de la entrega de atención, servicis prducts. Prcess que se rienten a prestar una atención de salud, previsinal scial a persnas que tengan ciertas calidades (ej: pensinads públics, ancians, persnas de las fuerzas armadas, etc.) Se refiere a prcess de entrega de préstams, incluyéndse ls prcess de planificación, ejecución y cbranzas. Prcess que cnsistan en bdegaje, mantenimient de stck y distribución de materiales bienes. Prcess que se refieran a ls bienes muebles e inmuebles del servici que se utilizan para cumplimient del rl del Servici. Estudis y accines que apyen decisines sbre la infraestructura. Estudis culturales que releven las artes, literatura, pintura y td l relacinad a temas culturales. Estudis que sirvan puedan servir de base para la emisión de nrmativa, regulacines, tarifas, etc. Prces a través del cual el servici gestina aquells bienes que sn indispensables para el cumplimient de su función; que sn de la esencia de su negci. En el cas de aquells servicis que entregan derechs beneficis a persnas naturales cm ser parte de un registr, derechs de aguas, etc. Entendiend tds aquells prces relacinads al PMG, cnvenis de desempeñ y trs estímuls pr metas. Aquells estudis cuy sentid es investigar un tema ecnómic, financier, de mercad u tra situación determinada imprtante para el servici. Desarrll de accines legales y/ judiciales cm negci del servici. Cntrl de utsurcing Equivales a la gestión y mnitre de ls cntrats que externalizan funcines prpias del servici. Calificación ambiental Prcess relacinads a análisis, autrizacines y permiss medi ambientales. Cmercialización Aquells servicis que venden prducts y/ servicis a tercers. 11

13 Planificación presupuestaria Planificación estratégica Crdinación entre instancias Iniciativas de inversión Mercad financier Sistemas de infrmación administrativs Prcess gerenciales Prces anual que se realiza en el servici para prgramar la presupuestación de ls diverss accines que ejecuta. Prces que realiza el servici en el que fija sus bjetivs, sus metas y la frma cm las cumplirá. Prcess que implican relacines entre diversas niveles, persnas entidades cuya rganización y canalización sn de respnsabilidad del servici. Inversión Tds ls prcess de inversión cnsiderads en el subtítul 31, desde ls estudis a la ejecución. Inversión en instruments financiers y de mercad accinari que realizan alguns servicis autrizads. Infrmación Aquells sistemas de infrmación que entregan reprtes y dats a ls que puedan tener acces tercers Sistemas infrmátics Sprte infrmátic intern del servici, que cmprende sistemas de infrmación cntable, financier y perativs que cntienen dats interns del servici. Cntrl perativ de ls recurss públics Fiscalización Prcess a través de ls cuales ls servicis cntrlan a entes externs en el cumplimient de nrmas y estándares. Evaluación y cntrl de substancias Prces de cntrl de substancias peligrsas. Cntrl de gestión Financier Legal Cmunicacines Adquisicines y abastecimient Recurss humans Administración/mantenimient recurss Prces a través del cual el servici cntrla el cumplimient de las metas, lgrs e indicadres que se ha definid en su planificación. Sprte Prcess cntables, de tesrería, registr presupuestari, etc. Asesría y apy jurídic dirigid al quehacer intern del servici. Accines de difusión y publicidad de ls prgramas y accines desarrlladas pr el servici. Incluye el la prgramación de cmpra, licitación, cmpra, recepción y distribución de ls bienes y servicis adquirids. Incluye tds ls prcess relacinads al persnal, su capacitación, remuneracines, feriads y bienestar. Prcess de gestión de ls recurss materiales del servici, inventari, baja y traslad. De acuerd a l anterir, ls Servicis deberán clasificar sus prcess en una de las categrías antes definidas, basads en las características rganizacinales de ésts. En el cuadr siguiente se entrega un ejempl de dicha clasificación. Cuadr Nº 3: Ejempl de clasificación de prcess. Prces Transversal Prces Subprces Etapas Objetivs Crédits recuperación de préstams Entrega de crédits de Subprces 1 Etapa 1 fment Subprces 2. Subsidis a privads scial Subsidis para. capacitación Recurss Humans Persnal.. Adquisicines y abastecimient Cmpras y cntratacines

14 Ante cualquier duda que surja al realizar la clasificación de ls prcess, se deberá cnsultar y cncrdar cn el respectiv sectrialista del Cnsej de Auditría la categría adecuada en la cual incluir un determinad prces Pnderación estratégica pr prces y subprces La situación actual, indica que ls Servicis sól levantan aquells prcess relevantes, que tienen un mayr nivel de cntribución al lgr de ls bjetivs estratégics de la entidad. Para el desarrll del Objetiv Gubernamental Nº 2, debe levantarse el 100% de ls prcess que desarrlle el Servici (negci y sprte). Debid a l anterir, y cnsiderand que n tds ls prcess tienen la misma imprtancia estratégica dentr de una Institución, deberá realizarse una pnderación prcentual de cada prces, que permita determinar el pes relativ que tiene cada un en el lgr de la Misión del Servici. Esta pnderación pr prcess, deberá realizarse pr la dirección de la entidad, en frma justificada, tmand en cnsideración variables cm las siguientes: Nivel de cntribución del prces a la misión y bjetivs estratégics del Servici. Impact del prces en la imagen del Servici. Nivel de recurss que invlucra cada prces. Cbertura del prces. Características de ls usuaris, clientes y prveedres. Eficiencia de ls sistemas de infrmación del prces. Cmplejidad y vlatilidad de las actividades desarrlladas en el prces. Dispersión gegráfica de las peracines desarrlladas en el prces. Cambis rganizacinales, peracinales, tecnlógics y ecnómics prducids en el prces. De la misma manera, una vez pnderads estratégicamente ls prcess, deberá definirse pr la dirección el pes relativ que cada subprces tiene dentr de un prces, est, atendiend a la relevancia imprtancia estratégica que tiene cada subprces en la cnsecución exitsa de ls bjetivs de cada prces. Esta pnderación de ls subprcess al igual que la de ls prcess deberá ser justificada adecuadamente, cnsiderándse para esta labr algunas variables cm las siguientes: El impact de la cncreción de ls riesgs en el subprces. El grad de cmplejidad de las etapas que se identifican al interir del subprces. Especialización del persnal que se requiere para desarrllar las diversas etapas y actividades del subprces. Ls recurss invlucrads y su cbertura reginal. El us de sistemas de medis de infrmación, entre trs. Cmpetencia, aptitud e integridad del persnal. Nivel de sistemas cmputarizads de infrmación. Oprtunidad y efectividad de ls sistemas de cntrl intern. Cambis rganizacinales, peracinales, tecnlógics y ecnómics. La pnderación prcentual distribuida en tds ls prcess en la institución debe sumar 100%, asimism, la pnderación prcentual distribuidas en tds ls subprcess dentr de un prces, debe sumar 100%. 13

15 A cntinuación en el cuadr Nº 4 se entrega un ejempl de pnderación estratégica en una rganización ficticia. Cuadr Nº 4: Ejempl de justificación de la pnderación estratégica de prcess y subprcess. Prces Pnd. 2 Justificación de la pnderación Subprcess Pnd. 3 Justificación de la pnderación Crédit de fment para mujeres micrempresari as 35% Se trata del prces principal del Servici, que cumple el bjetiv estratégic de entregar apy a las iniciativas de la mujer micrempresaria, invlucra sbre M$ , y se rienta a usuarias en situación vulnerable, cn ingress anuales inferires a las 200 UF Pstulación crédit 10% Evaluación crédit Entrega crédit 35% 20% Recuperación crédit 35% La pnderación cnsidera que la pstulación es un acción externa, prpia de las usuarias Este subprces es imprtante para el éxit del prces pr cuant las deficiencias en la evaluación afectan la recuperación del mism y la imagen del Servici Se cnsidera imprtante puest que afecta la rganización interna de la entidad per su efect n es direct en las usuarias en la imagen La baja recuperación repercute en el presupuest de la entidad, afectand directamente a las tras usuarias y la imagen del Servici Capacitación para ls negcis 25% Prces imprtante, ya que clabra al cumplimient del el bjetiv estratégic de entregar apy a las iniciativas de la mujer micrempresaria, invlucra un presupuest superir a M$ y se dirige a mujeres en situación vulnerable cn baja esclaridad Pstulación 20% Capacitación 50% Se trata de un benefici cncid pr la pblación bjetiv, del cual se realiza difusión desde hace seis añs cn buena respuesta de las usuarias. El persnal tiene experiencia y se cuenta cn un sistema de infrmación para el ingres y validación de dats de ls pstulantes Se trata de curss cntratads en el mercad, entregads pr persnal extern al Servici, que debe ser mnitread a fin que entregue materias requeridas pr las usuarias, cn un nivel cmprensible para el públic bjetiv, cn la flexibilidad necesaria para mujeres Evaluación 30% Es imprtante ya que es la frma de medir cm se ha recibid pr las usuarias ls cntenids de ls curss y evaluar ls resultads de ls curss Presupuest y Cntabilidad 10%..... Cuand existan dudas diferencias que surjan respect de la pnderación estratégica de ls prcess subprcess, deberá cnsultarse y discutirse cn el respectiv sectrialista del Cnsej de Auditría. 2 Prcentaje de Pnderación Estratégica de ls prcess en relación cn ls bjetivs estratégics y la misión de la institución. 3 Prcentaje de Pnderación Estratégica de ls subprcess en relación cn ls bjetivs del prces. 14

16 Tiplgía de riesgs Para el cumplimient del Objetiv Gubernamental Nº 2, se utilizará una tiplgía categrización de riesgs. En estas categrías deben clasificarse ls riesgs específics que se identifiquen en la próxima fase. La tiplgía de riesgs, sirve para agrupar aquells riesgs que tienen características y elements cmunes. En relación a la fuente u rigen de ls riesgs, se pueden señalar que existen riesgs de fuente externa y riesgs de fuente interna 4. Ls riesgs de fuente externa, sn aquells que tienen su rigen en situacines que están fuera de la administración y cntrl del Servici, cm ls cambis plítics y sciales. Al cntrari, sn de fuente interna, ls que se riginan al interir del Servici, cm ls relacinads a las capacidades del persnal y a la efectividad de ls sistemas de infrmación. En el cuadr Nº 5, se señalan ejempls de ls tips de riesgs, cnsiderand ls elements que caracterizan a cada un. Es necesari señalar, que la clasificación prpuesta, es una adaptación de la establecida en el Mdel COSO II, que se ha mdificad para ser aplicada en el Objetiv Gubernamental de Auditría 2007 N 2. Cuadr Nº 5 : Ejempls de tipificación de riesgs Tips de Riesgs Ecnómics Sciales Tecnlógics Elements que ls caracteriza Se relacinan cn elements financiers, cmerciales y presupuestaris Se relacinan cn elements de cmunidad scial, cultural, demgráfica, cmprtamients sciales. Acerca de las tecnlgías de la infrmación cm cncept y ls cambis que prducen a nivel glbal en el sectr el Servici Ejempls de riesgs específics - Falta de dispnibilidad presupuestaria - Mdificacines presupuestarias pr deficiente ejecución - Errres en el servici de la deuda - Servici de la deuda muy alt - Exces de cmprmiss del Servici que afecten su presupuest - Malas inversines en mercad de capitales - Deficiencias en la ejecución presupuestaria del Servici - Falta de Suplements del Ministeri de Hacienda falta de prtunidad en ls misms. - Deficiente cmprtamient de usuaris (baj cmprmis, baj cumplimient, etc.) - Prblemas cn ls dats persnales y privads de ls clientes prveedres - Falta de respnsabilidad scial del Servici excesivamente gravsa - Cambis culturales en ls usuaris del Servici (baj interés, dificultades para aplicar plíticas, etc.) - Interrupción de servicis - Cmplejidades del Cmerci Electrónic gravsas para el Servici - Cmplejidades y requisits del Gbiern Electrónic - Falta de cumplimient de las bligacines emanadas del Gbiern Electrónic 4 Cfr. COSO II 15

17 Estratégics Mediambientales Prcess Legal Persnas Imagen Sistemas Aspects claves para el desarrll del Servici, que se relacina cn decisines superires y plítica de Gbiern Aspects que afectan la calidad del mediambiente, sean casinads pr el hmbre la naturaleza Elements que se relacinan cn ls distints aspects de ls prcess que desarrlla el Servici; cm el diseñ, la ejecución, la supervisión y ls clientes Aspects de cumplimient y de cnfrmidad del actuar del Servici cn la nrmativa pública general y específica aplicable al Servici Aspects relacinads al persnal del Servici, desde su ingres hasta su egres del mism. Aspects relacinads cn el perfil del Servici y la reputación scial del mism. Percepción de la cmunidad del actuar de la entidad Relacinad cn ls sistemas de infrmación del Servici, las tecnlgías que psee y ls dats que maneja. - Falta de cnfiabilidad de ls dats externs - Desactualización del Servici debid a las tecnlgías emergentes - Falta de pder adquisitiv del Servici frente a las nuevas tecnlgías. - Falta de planificación en ls cambis de gbiern - Deficiencias en el cncimient, cmprensión y aplicación de las plíticas públicas pr parte del Servici - Nuevas regulacines y tarifas dificultan el quehacer institucinal l hacen más gravs - Falta de cumplimient nrmativ en las emisines y residus - Dificultades cn el us de la energía - Situacines prducidas pr catástrfes naturales - Falta de garantías de desarrll sustentable - Malas decisines de impact mediambiental - Deficiencias en el diseñ del prces - Ejecución errónea de ls prcess - Ejecución inprtuna de ls prcess - Falta de supervisión - Falta de respnsables de ejecutar la supervisión y mnitre - Falta de medidas adptadas ante la supervisión, se adptan medidas que n sn adecuadas - Falta de cumplimient deficiencias en el mism pr parte de ls clientes - Desactualización pr cambis en la legislación - Aument de ls requerimients pr cambi de legislación - Falta de cumplimient de nrmas pr deficiencias en las mismas (nrmas scuras cntradictrias, vacís legales) - Falta de capacidad del persnal - Persnal sin capacitación - Actividad fraudulenta del persnal - Deficiencias en la seguridad e higiene y en el ambiente de trabaj del Servici. - Deficiencias en el cumplimient de nrmas de persnal (dtación, escalafón, etc.) - Escándals - Crrupción - Incumplimient de las funcines del Servici - Discnfrmidad de ls usuaris - Mal us de recurss - Falta de integridad y cnfiabilidad de dats - Falta de dispnibilidad de dats y sistemas - Deficiencias en la selección de sistemas - Deficiencias en el desarrll y despliegue de ls sistemas - Deficiencias en el mantenimient - Falta de interperabilidad de ls sistemas Cuand existan dudas diferencias que surjan en la tipificación de ls riesgs específics, deberá cnsultarse y discutirse cn el respectiv sectrialista del Cnsej de Auditría. 16

18 2.- FASE IDENTIFICACIÓN DE RIESGOS Y OPORTUNIDADES La metdlgía del Cnsej de Auditría para el Objetiv Gubernamental Nº 2, cnsidera la identificación de riesgs y prtunidades que pueden afectar la cnsecución de ls bjetivs estratégics de la entidad. Las prtunidades y riesgs, sn events, que se definen cm un incidente que emana de fuentes internas externas que afecta psitiva negativamente la implementación de la estrategia lgr de ls bjetivs. Ls events pueden generar impacts psitivs negativs, ambs. Ls impacts psitivs, se denminan prtunidades, y ls negativs sn cncids cm riesgs. 5 Cm puede apreciarse, la identificación de events cnsta de ds aspects. Pr una parte, la identificación de prtunidades y pr tra la identificación de riesgs. En la actualidad, ls Servicis han desarrllad sól una parte de esta fase, identificand riesgs a nivel perativ para la cnfección de la matriz de riesgs Identificación de prtunidades Un aspect imprtante a cnsiderar al identificar prtunidades, es la existencia de events que pueden prducir efects negativs y psitivs a la vez, pr ejempl, la priridad que le da el Gbiern a cierts prgramas, prduce el efect psitiv de tener mayres recurss y mayr apy para desarrllarls, per a la vez pdría prducir una mayr expsición de ls misms a la pinión pública. La identificación de prtunidades es de vital imprtancia para retralimentar las estrategias en la rganización, siend también relevante para rientar el tratamient de ls riesgs, pr l que éstas deben ser cncidas y evaluadas prtunamente pr la dirección. A cntinuación, en el cuadr Nº 6 se entrega un ejempl de identificación de prtunidades a través de events. Cuadr Nº 6: Ejempl de identificación de prtunidades pr prces. Entidad Misión Prcess Events/prtunidades Sistema Creditici de Fment Está dentr de ls lineamients del nuev Gbiern. Cambis sciales que apuntan a un papel prtagónic de la mujer. La mujer estadísticamente es más cumplidra y respnsables cn sus deudas y cmprmiss. Servici Apy al Micrcrédit (fictici). Entregar apy creditici de fment a grups vulnerables, de mujeres y jóvenes. Apy a la Capacitación Recurss Humans La mujer es respnsable en asistencia a ls curss. En ls últims añs ha existid una gran demanda pr capacitación. Existen muchs rganisms técnics en el mercad que frecen diversas alternativas. El presupuest de este añ cntempla más recurss que el añ anterir para este prces... Sistemas de Infrmación Cntabilidad y Presupuest De acuerd a COSO II, ls events sn tdas aquellas circunstancias que pueden afectar la cnsecución de ls bjetivs estratégics de una rganización. Las que l afectan en frma psitiva se denminan prtunidades y las que afectan en frma negativa, se denminan riesgs. 17

19 Para el cumplimient del Objetiv Gubernamental del añ 2007 n será necesari identificar prtunidades. Sin perjuici de l anterir, se recmienda que se realice este ejercici puest que las prtunidades sirven a la institución para retralimentar las estrategias Identificación de Riesgs Tiplgía de Riesgs: Junt cn identificar ls riesgs, es imprtante clasificarls según la tiplgía genérica frmulada en la fase de establecimient del cntext estratégic, cnsiderand las categrías de riesgs a ls que se pueden ver expuests las entidades. Para el cumplimient del Objetiv Gubernamental de Auditría se debe señalar, de acuerd a la tiplgía entregada, a qué tip genéric de riesg crrespnde el riesg específic determinad y cuál es su fuente (externa interna), cm se señala a cntinuación en el ejempl del cuadr Nº 7. Cuadr Nº 7: Ejempl de clasificación de riesgs de acuerd a su tiplgía. Prces Transversal Crédits Recuperación de préstams Prces Pnd. Subprces Pnd. Etapas Objetivs Riesgs específics Recuperar Falta de accines prtunamente ls prtunas de cbranza crédits Inslvencia de ls Cbranza deudres Cntar cn garantías Falta de garantías de ls crédits Crédits de fment a mujeres micrempres arias 30% Recuperación del crédit 25% Ingres fnds recuperads Ingresar ls fnds recuperads en frma prtuna y cmpleta Fuente de Riesgs Interna Externa Interna Tip de riesg Prb. Cns Prcess 3 3 Ecnómic 2 4 Prcess 1 4 Ingres inprtun incmplet de pags Interna Persnas 4 3 Errres en la digitación de ls mnts Interna Persnas 3 4 Prblemas en la transfrmación de la infrmación del sistema Interna Tecnlógic 2 4 del Servici al SIGFE Ante las dudas dificultades que surjan al realizar la tipificación de ls riesgs, se deberá cnsultar al respectiv sectrialista del Cnsej de Auditría Identificación de riesgs relacinads cn el Gbiern Electrónic: La actividad de identificar ls riesgs que puedan afectar el cumplimient de ls bjetivs de la Organización, se ha venid realizand desde el añ 2005 pr ls Servicis, en el marc de la cnfección de la Matriz de Riesgs Estratégica, pr l cual para el desarrll del Objetiv Gubernamental Nº 2, sól se requerirá la actualización de ls riesgs relevads, cn la incrpración de aquells prcess y riesgs relacinads cn el Sistema de Gbiern Electrónic. Para identificar ls prcess relacinads cn el Gbiern Electrónic y realizar el análisis de ls riesgs que ls pueden afectar, es necesari cnsiderar que éste cnsiste en el us de las tecnlgías de infrmación y cmunicacines (TIC) que realizan ls órgans de la administración para mejrar ls servicis e infrmación frecids a ls ciudadans, aumentar la eficiencia y la eficacia de la gestión pública e incrementar sustantivamente la transparencia del sectr públic, así cm la participación de ls ciudadans 6. 6 Fuente: Instructiv Presidencial Gbiern Electrónic, May

20 Dentr del Prgrama de Mejramient de la Gestión, existe el Sistema de Gbiern Electrónic. Este sistema, cnsta de cuatr etapas, que cnsideran, diagnstic, planificación implementación y evaluación, respectivamente. Para el levantamient de prcess crítics de Gbiern Electrónic del Servici, se sugiere: En base a l implementad en el marc del PMG de Gbiern Electrónic del Servici, revisar, cncer y analizar, cuáles prcess, de prvisión y de sprte, fuern seleccinads cm elegibles para desarrllar pryects que mejren dichs prcess a través de la incrpración de TIC, cn el bjet de favrecer mejras en la gestión, entregar una mejr atención ciudadana y/ un frtalecimient de la demcracia. (Etapa I, Diagnóstic y Etapa II Planificación, Sistema de Gbiern Electrónic). De ess prcess seleccinads, analizar cuáles fuern implementads serán implementads, de acuerd a ls pryects planificads, distinguiend prcess de negci (prvisión) y de sprte. (Etapa III Implementación y Etapa IV Evaluación, Sistema de Gbiern Electrónic). Una vez determinads cuáles fuern ls prcess que se implementarn, debe verificarse el levantamient de ls misms. El Servici, dentr del marc PMG Gbiern Electrónic, tuv que realizar un levantamient de ls prcess, estableciend diagramas, y descripción de las actividades, análisis de ls prblemas u prtunidades, las prpuestas de mdificacines cn la cnceptualización de la slución, la presentación de herramientas tecnlógica y la determinación de viabilidad del pryect. En base a l anterir, se debe analizar la dcumentación de ese levantamient y, en cnjunt cn ls encargads dueñs de prces, desagregar ls prcess, identificand a través del diagrama y tra dcumentación, ls subprcess, etapas y actividades de cada prces de acuerd cn la metdlgía dispuesta pr el Cnsej de Auditría. Una vez realizada la desagregación de ls prcess de Gbiern Electrónic, es necesari que en cnjunt cn ls encargads dueñs de prcess, se identifiquen ls bjetivs perativs de las etapas desagregadas. Identificads ls bjetivs perativs, deben identificarse ls riesgs asciads a las actividades de cada etapa. Hay que relevar que, una parte de esta labr, fue realizada pr ls encargads de ls prcess, en el marc del PMG de Gbiern Electrónic al definir ls prblemas dentr del levantamient. Sin perjuici de l anterir, este análisis debe enriquecerse, en base a la desagregación realizada y en relación a ls nuevs riesgs que el mejramient tecnlógic le impne a este prces. En el anex 4, a md ilustrativ, se presentan alguns ejempls de riesgs genérics que pueden afectar ls prcess que incrpran Tecnlgía de la Infrmación. 19

21 3.- FASE ANÁLISIS DE RIESGOS Análisis general de riesgs Cm ya se ha señalad anterirmente, ls Servicis han venid desarrlland la identificación de riesgs específics y su análisis en ls últims ds añs, en el marc de la cnfección de la Matriz de Riesgs Estratégica, examinand ls riesgs en relación a su prbabilidad y cnsecuencias y ls cntrles en términs de eficiencia, para finalmente identificar el nivel de expsición al riesg pr prces, subprces, etapa y riesg específic. Sin embarg l anterir, en esta fase, existen ds elements que deben cnsiderarse para cmplementarla Actualización de la identificación de ls riesgs: Ls Servicis deberán pner al día su análisis de riesgs, actualizand las Matrices de Riesgs Estratégicas e incrprand ls prcess relacinads cn el Gbiern Electrónic, cn sus respectivs riesgs y cntrles Incrpración del cncept de pnderación estratégica: Cm ya se señaló en el punt N 1 de este dcument, Fase de Establecimient del Cntext; para el desarrll del Objetiv Gubernamental Nº 2, deberá aplicarse el cncept de pnderación estratégica a nivel de prces y subprces. En efect, para determinar el nivel de expsición al riesg de ls subprcess y prcess, deberá multiplicarse el nivel de expsición final pr prces y subprces 7 pr el prcentaje de pnderación estratégica que a cada un de ells les fue asignad, de la frma que se explica en el cuadr a cntinuación: Cuadr Nº 8: Ejempl de pnderación estratégica pr prces y subprcess. Prces Transversal Prces Transversal 1 Prces Transversal 2 Prces Transversal 3 Nivel de Expsición al Riesg Nivel de Expsición al Riesg Prces Pnd 8 Subprces Pnd. 9 Etapas Pnderada Riesg Etapa Subprces Prces Subprces Prces Específic Subprces Etapa x 70% = 2,1 70% 3 Prces 1 1 Etapa ,8 50% Subprces Etapa ,8 x 50% = 1,4 30% 2,5 2,5 x 30% = 0,75 2 Etapa Subprces Etapa % 3,5 3,5 x 60% = 2,1 Prces 2 3 Etapa ,8 20% 3,7 x 20% = 0,74 Subprces Etapa % 4 4 x 40% = 1,6 4 Etapa Subprces Etapa % 2 2 x 50% = 1 Etapa Prces 3 30% Subprces Etapa ,7 2,7 x 30% = 0, % Etapa ,3 3,3 x 50% = 1,65 Etapa Del cuadr Nº 8, es psible apreciar que la pnderación estratégica releva la imprtancia del prces en el cntext de la Institución y del subprces en el cntext del prces, acercand el resultad a la psición y relevancia de ésts. En efect, en el ejempl se bserva que sin aplicar el prcentaje de pnderación estratégica, aparece cm de mayr nivel de expsición al riesg (y pr tant, cm más priritari para actuar sbre él) el prces 2, sin embarg, aplicand la pnderación estratégica definida pr la dirección aparece cm de mayr priridad el prces 1, el cual, de acuerd a la determinación realizada pr la dirección es el más imprtante al interir de la entidad. 7 Nivel determinad en base a las escalas definidas en ls dcuments técnics N s 24 y 33 del Cnsej de Auditría. 8 Pnderación estratégica del prces, en relación a la misión y bjetivs estratégics de la entidad 9 Pnderación estratégica del subprces en relación a ls bjetivs del prces. 20

22 4- FASE EVALUACIÓN DE LOS RIESGOS Tmand en cnsideración que se trata del primer añ que se va a intrducir el Prces de Gestión de Riesgs en el Sectr Gubernamental, la Fase de Evaluación de ls Riesgs se desarrllará en frma simplificada. Est cnsidera ds pass. Primer la definición del criteri que se escgerá y segund la cnfección de un ranking de riesgs en la rganización Definición de criteris En este cas se utilizará el criteri asciad al nivel de expsición al riesg, est es el riesg residual que subsiste después de aplicads tds ls cntrles claves existentes. Para el desarrll del Objetiv Gubernamental, el nivel de expsición al riesg debe cnsiderar la pnderación estratégica de prcess y subprcess, de acuerd a l señalad en ls párrafs anterires. En el cuadr N 9 se muestra la relación entre ls distints cmpnentes del análisis de riesgs, Cuadr N 9: Relación entre Severidad del Riesg y Expsición al Riesg. SEVERIDAD DEL RIESGO (Prbabilidad X Cnsecuencias) Ls riesgs sin ls efects mitigadres del cntrl EXPOSICIÓN AL RIESGO Nivel del Riesg Residual determinad después de aplicads ls cntrles existentes Cntrles existentes para mitigar la severidad del riesg Ranking de Riesgs Ranking de Riesgs para Prirización de estrategias Basad en la infrmación cntenida en la Matriz de Riesg Estratégica cnstruida en las fases anterires del prces, se debe evaluar en cuáles ámbits rganizacinales se requiere actuar en frma priritaria (prcess y subprcess). Para dar cumplimient a esta tarea, la rganización debe cnstruir un Ranking de Riesgs en base al nivel de expsición al riesg pnderada, cn un alcance y criteris que se detallan en ls punts a y b siguientes: 21

23 a.- Ranking de prcess pr nivel de expsición al riesg pnderada En el cuadr Nº 10 se presenta el esquema del análisis a realizar para un prces desagregad hasta el nivel de riesg específic. Cuadr Nº 10: Ejempl de Matriz de Riesgs pr nivel de expsición al riesg y nivel de expsición al riesg pnderada. Prces Transversal Crédits - recuperación préstams Prces Pnd. 10 Subprces Pnd. 11 Etapas Objetivs Riesgs Entrega crédits 35% Subprces 1 Subprces 2 60% 40% Etapa 1 Etapa 2 Etapa 3 Etapa 4 Severidad del Riesg Expsición al Riesg pr Sub prces Expsición Riesg Prces al pr E. R. E.R. 12 E.R. P 13 E.R. E.R.P ,1 2,5 0,75 2,8 1,4 Financier Cntabilidad y presupuest 10% Subprces 3 70% Etapa 5 5 Etapa 6 2 Etapa 7 2 3,5 2,1 3,8 0,74 Subprces 4 30% Etapa 8 6 4,0 1,6 Etapa 9 2 Subprces 5 50% Etapa ,0 1,0 Subsidi a privads scial Capacitación 25% Etapa 11 2 Etapa ,7 0,81 Subprces 6 50% Etapa ,5 1,65 Etapa 14 4 Recurss Humans Recurss Humans 10% Subprces 7 Subprces 8 35% 65% Subprces 9 35%. 20% Subprces 10 40% Subprces 11 25% De la Matriz de Riesgs anterirmente expuesta, emana el ranking que se presenta en el siguiente cuadr Nº 11, de acuerd al nivel de expsición al riesg pnderad. 10 Pnderación estratégica del prces, en relación a la misión y bjetivs estratégics de la entidad 11 Pnderación estratégica del subprces en relación a ls bjetivs del prces. 12 Expsición al Riesg 13 Expsición al Riesg Pnderada 22