CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
1
EUROsociALEUROsociAL
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
2
SNCISNCI
TITULO VI TITULO VI
LA GESTIÓN DE RIESGOSLA GESTIÓN DE RIESGOS
SNCISNCI
TITULO VI TITULO VI
LA GESTIÓN DE RIESGOSLA GESTIÓN DE RIESGOS
CARTAGENA DE INDIASCARTAGENA DE INDIASMayo, 2008Mayo, 2008
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
3
CONTROL INTERNO
LAS CARACTERÍSTICAS DE LA AT, EN CUANTO GESTOR DEL SISTEMA TRIBUTARIO, LAS FUNCIONES QUE DESEMPEÑA, LA IMPORTANCIA DE LAS DECISIONES QUE EN SU SENO SE TOMAN, Y LA TRASCENDENCIA QUE PARA LA ECONOMÍA TIENEN, DAN LA MEDIDA DE LA IMPORTANCIA QUE TIENE LA FUNCIÓN DE CONTROL.
LA AT TIENE DELEGADA UNA AUTORIDAD Y EL MODO DE EJERCERLA HA DE SER CONTROLADO CON CONTROL INTERNO Y EXTERNO.
SE LE REQUIERE BUEN GOBIERNO Y TRANSPARENCIA. LA RESPUESTA DEBE SER UN REFUERZO DE SUS CONTROLES INTERNOS.
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
4
CONTROL INTERNO EL PROCESO ADMINISTRATIVO ESTÁ FORMADO POR LAS
FUNCIONES DE PLANIFICACIÓN, ORGANIZACIÓN, EJECUCIÓN Y CONTROL.
POR LO TANTO, EL CONTROL ES UNA FUNCIÓN EJERCIDA EN EL SENO DE LA AT.
EL CONTROL ES UN PROCESO DE OBSERVACIÓN Y MEDIDA QUE COMPARA SISTEMÁTICAMENTE LOS OBJETIVOS CON LOS RESULTADOS Y QUE TIENE CAPACIDAD PARA REGULAR LOS SISTEMAS CON LA INTENCIÓN DE QUE SEAN ALCANZADOS LOS OBJETIVOS.
EL CONTROL SE EJERCE PARA ASEGURAR QUE LA ORGANIZACIÓN Y LAS PERSONAS ACTÚAN CONFORME AL MANDATO QUE HAN RECIBIDO.
EL CONTROL APORTA CONFIANZA A TODAS LAS PARTES INTERESADAS EN LA BUENA MARCHA LA AT .
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
5
ESTE CONTROL PRETENDE GARANTIZAR:
EL CUMPLIMIENTO DE LA LEGISLACIÓN VIGENTE.
PROPORCIONAR SEGURIDAD A LOS AGENTES IMPLICADOS.
LIMITAR RIESGOS.
FACILITAR EL CUMPLIMIENTO DE LOS OBJETIVOS.
MEJORAR LA EFICIENCIA Y LA EFICACIA DEL SISTEMA.
OBTENER INFORMACIÓN FIABLE.
CONTROL INTERNO
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
6
EVOLUCIÓN DEL CONTROL INTERNO
CONTROL
AJENO A LA ORGANIZACIÓN
EXTERNO, O EFECTUADO POR OTRAS PERSONAS.
DISTINTO A LA GESTIÓN.
EN FASE POSTERIOR.
CONTROLCONTROL
FUNCIÓN IRRENUNCIABLE DE LA DIRECCIÓN
COMPETE A TODA LA ORGANIZACIÓN
PARTE INTEGRANTE DE LA GESTIÓN.
INCORPORADO A SUS PROCESOS.
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
7
EN EL ÁMBITO DE LA MODERNA ADMINISTRACIÓN PÚBLICA SE HA PRODUCIDO UN CAMBIO DE ENFOQUE EN EL CONCEPTO DE CONTROL. ESTE CAMBIO AMPLÍA EL ENFOQUE DE LA FUNCIÓN DE CONTROL:
EN UN PRINCIPIO EL CONTROL SOLO SE HA ENFOCADO HACIA EL ACTO FINAL DE UN PROCEDIMIENTO.
AHORA TAMBIÉN SE DIRIGE AL PROCEDIMIENTO DE PRODUCCIÓN DEL ACTO.
EL CONTROL INTERNO
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
8
EVOLUCIÓN DEL CONTROL INTERNO HACIA LA GESTIÓN DE RIESGOS
ESCÁNDALOS MERCANTILES
FALLOS DE CONTROL
PÉRDIDA DE
CONFIANZA
CAMBIOS EN EL CONTROL DE LA GESTIÓN
DEMANDA MEJORES SERVICIOS PÚBLICOS
REQUERIMIENTO DE MAYOR
TRANSPARENCIA
SATISFACCIÓN
DEL CIUDADANO
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
9
EL MODELO COSO
EL INFORME COSO SE PUBLICÓ EN 1992, TRANSCURRIDO UN TIEMPO SE PERCIBIÓ LA NECESIDAD DE DESARROLLAR UN MARCO QUE INTEGRARA LA GESTIÓN DE RIESGOS. ESTE NUEVO MARCO FUE PUBLICADO EN 2004.
EL INFORME DE 2004 NO PRETENDE SUSTITUIR AL INFORME 1992, SINO OFRECER UN MARCO MAS AMPLIO QUE ABARCA LA GESTIÓN DE RIESGOS.
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
10
EVOLUCIÓN DEL CONTROL INTERNO HACIA LA GESTIÓN DE RIESGOS
SURGE LA GESTIÓN DE RIESGOSGESTIÓN DE RIESGOS COMO UNA GESTIÓN
PROACTIVA, ANTICIPATORIAPROACTIVA, ANTICIPATORIA, QUE TRATA DE AYUDAR AL AYUDAR AL
GESTOR EN SU TOMA DE DECISIONESGESTOR EN SU TOMA DE DECISIONES, TRATANDO
EFICAZMENTE LA INCERTIDUMBRE, MINIMIZANDO LOS
RIESGOS INHERENTES A DICHA GESTIÓN QUE PUEDAN
AFECTAR A LA CONSECUCIÓN DE SUS OBJETIVOS.
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
11
CONCEPTO DE RIESGO
RIESGO ES LA POSIBILIDAD DE QUE UN RIESGO ES LA POSIBILIDAD DE QUE UN
EVENTO OCURRA Y AFECTE EVENTO OCURRA Y AFECTE
DESFAVORABLEMENTE AL LOGRO DE DESFAVORABLEMENTE AL LOGRO DE
OBJETIVOS.OBJETIVOS.
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
12
CONCEPTOS DE GESTIÓN DE RIESGOS
GESTIÓN DE RIESGOS
– La gestión de riesgos corporativos es
un proceso efectuado por la Dirección y el resto del personal de una organización,
integrado dentro de la estrategia de la organización,
diseñado para identificar, evaluar, manejar y controlar acontecimientos o situaciones potenciales que pueden afectar a la AT.
con el fin de proporcionar un aseguramiento razonable respecto al logro de sus los objetivos.
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
13
Elementos constitutivos de un sistema de control de riesgos:
– ambiente interno.
– definición de objetivos.
– identificación de riesgos.
– evaluación de riesgos.
– respuesta al riesgo.
– actividades de control.
– información y comunicación.
– supervisión.
COMPONENTES DE LA GESTIÓN DE RIESGOS
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
14
Evaluación de los riesgos:
• Los riesgos deben valorarse teniendo en cuenta una doble perspectiva:
– Su impacto sobre la consecución de los objetivos.
– La probabilidad de ocurrencia.
• Hay que valorar:
– El riesgo inherente, que se define como el riesgo existente antes de establecer los controles, es decir si no se hubiesen adoptado acciones para alterar el impacto o la probabilidad.
– El riesgo residual, consistente en el riesgo remanente tras establecer las medidas de control.
COMPONENTES DE LA GESTIÓN DE RIESGOS
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
15
Respuesta al riesgo:
• La dirección debe evaluar cuál es la respuesta al riesgo de la organización en función de las cuatro categorías siguientes:
– Evitar: Salir de las actividades que generan riesgos.
– Reducir: Actuar para reducir la probabilidad de ocurrencia, el impacto del riesgo o ambos.
– Compartir: Trasladar o transferir una parte del riesgo.
– Aceptar: No acometer ninguna acción que afecte a la probabilidad o al impacto.
COMPONENTES DE LA GESTIÓN DE RIESGOS
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
16
• Factores a considerar por la dirección en la respuesta a los riesgos:
– efectos de la respuesta sobre la probabilidad del riesgo y sobre su impacto.
– costes y beneficios de las respuestas potenciales: las medidas de control para mitigar o eliminar los riesgos, a las que se recurra, no deberían suponer para la organización un coste superior que el que provocaría la ocurrencia del acontecimiento considerado.
– oportunidades que supone de conseguir los objetivos de la organización.
COMPONENTES DE LA GESTIÓN DE RIESGOS
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
17
Una vez establecida la respuesta al riesgo más adecuada para
cada situación, deberá establecerse:
– un plan de implantación de la respuesta.
– un seguimiento de su efectividad.
COMPONENTES DE LA GESTIÓN DE RIESGOS
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
18
Actividades de control :
• Se trata de las políticas (lo que debe hacerse) y los
procedimientos (cómo hacerlo) que son necesarios para
asegurar que la respuesta al riesgo ha sido la adecuada.
• Las actividades de control deben estar establecidas en
toda la organización, a todos los niveles y en todas sus
funciones y deben tener convenientemente integradas las
respuestas a los riesgos.
COMPONENTES DE LA GESTIÓN DE RIESGOS
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
19
• Atributos de las actividades de control:
– El control establecido puede ser automático, o
manual, requiriendo la intervención de personal.
– El control puede disponer o no de indicadores de
cumplimiento.
– El control puede estar concebido y ejecutado como
una alerta.
COMPONENTES DE LA GESTIÓN DE RIESGOS
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
20
Información y Comunicación:
• El sistema de gestión de riesgos debe disponer de una adecuada información en todos los niveles de la organización.
• La información debe identificarse, captarse y comunicarse en plazo.
– Los sistemas de información (SI) se diseñan desde hace tiempo para apoyar la estrategia de negocio de la organización. El desarrollo de los SI ha mejorado la capacidad de medir y supervisar el funcionamiento de las entidades y de presentar información analítica corporativa.
COMPONENTES DE LA GESTIÓN DE RIESGOS
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
21
– En contrapartida, la dependencia de la organización respecto de los SI genera nuevos riesgos y plantea el problema de la calidad de la información.
• Una comunicación eficaz debe fluir en todas direcciones dentro de la organización. Consta de:
– Comunicación interna, que exprese eficazmente la importancia de una buena gestión de los riesgos, los objetivos de la entidad, el riesgo aceptado y las tolerancias al mismo, el lenguaje común de los riesgos y los roles y responsabilidades del personal.
– Comunicación externa, potenciada por el compromiso expreso de la dirección con la comunicación hacia terceros.
COMPONENTES DE LA GESTIÓN DE RIESGOS
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
22
Supervisión:
• La gestión de riesgos debe ser supervisada para asegurar su correcto funcionamiento y la calidad de los resultados.
• Tipos de supervisión:
– Actividades de supervisión permanente, integradas en las actividades de gestión.
– Evaluaciones, cuyo alcance y frecuencia depende de la eficacia de las supervisiones permanentes.
• La evaluación puede adoptar la forma de una autoevaluación.
• La evaluación de riesgos es un proceso, requiere una metodología y explicitar de qué se informa y a quién.
COMPONENTES DE LA GESTIÓN DE RIESGOS
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
23
PROCESO DE GESTIÓN DE RIESGOS
– Política de gestión de riesgos.
• La organización debe aprobar una política institucional de gestión de riesgos y seleccionar una metodología para el análisis y gestión de los riesgos.
– Objetivos, procesos y riesgos.
• Los riesgos están vinculados a los objetivos de la organización, que deben estar fijados con antelación.
• Los riesgos están también directamente vinculados a los procesos y procedimientos de la organización.
METODOLOGÍA DE GESTIÓN DE RIESGOS
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
24
– Gestión de los riesgos.
• La gestión de los riesgos se suele coordinar por un órgano especializado (Comité de Riesgo).
• En ocasiones, se designa a “propietarios” de cada riesgo relevante, responsables de su oportuna gestión.
• Todas las áreas gestionan los riesgos de la organización.
• Toda la organización dispone de adecuada información
sobre el sistema de gestión de riesgos.
METODOLOGÍA DE GESTIÓN DE RIESGOS
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
25
– Valoración de los riesgos.
• El riesgo se valora de forma continua, antes y después de aplicar las medidas de control mitigantes. El riesgo remanente es el riesgo residual.
– Tratamiento.
• Considerando costes y beneficios, la dirección selecciona el tratamiento o actuación de control sobre los riesgos que sitúa el riesgo residual dentro de la tolerancia al riesgo establecida por la organización, denominada riesgo aceptado.
• El control interno de la organización se orienta entonces a impedir, mitigar o transferir los riesgos.
METODOLOGÍA DE GESTIÓN DE RIESGOSMETODOLOGÍA DE GESTIÓN DE RIESGOS
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
26
• La actuación sobre los riesgos tiende a anticipar su
materialización y por tanto es preventiva antes que reactiva,
tendiendo al establecimiento de alertas automáticas.
– Supervisión.
• Los controles establecidos se monitorizan de forma
continua.
• El sistema de gestión de riesgos debe ser supervisado.
METODOLOGÍA DE GESTIÓN DE RIESGOS
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
27
ÓRGANOS E INSTRUMENTOS DE GESTIÓN DE ÓRGANOS E INSTRUMENTOS DE GESTIÓN DE RIESGOSRIESGOS
SON DIFERENTES DE LOS INSTRUMENTOS DE PLANIFICACIÓN Y SU SEGUIMIENTO.
En los instrumentos de planificación se definen, entre otros, los objetivos y metas de la organización (Plan estratégico, Plan de Acción, Plan Operativo Anual...).
Los instrumentos de gestión de riesgos identifican, evalúan, manejan y controlan acontecimientos o situaciones potenciales que pueden poner en peligro el cumplimiento de esos objetivos y metas.
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
28
GESTIÓN DE RIESGOS: ÓRGANOSGESTIÓN DE RIESGOS: ÓRGANOS
COMITÉ DE RIESGOS DE LA ATCOMITÉ DE RIESGOS DE LA AT
DEPARTAMENTO
AUDITORÍA INTERNA
COMITES O GRUPOS DE TRABAJO DE RIESGOS
SECTORIALES
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
29
ÓRGANO DE DIRECCIÓN ESPECÍFICAMENTE
ORIENTADO A LA GESTIÓN DE RIESGOS.
COMITÉ DE GESTIÓN DE RIESGOS DE LA ATCOMITÉ DE GESTIÓN DE RIESGOS DE LA AT
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
30
FUNCIONES DEL COMITÉ DE GESTIÓN DE RIESGOS DE LA AT
IDENTIFICAR, ANALIZAR Y EVALUAR LOS RIESGOS INTERNOS Y EXTERNOS.
IDENTIFICAR LOS PROCESOS CRÍTICOS.
PROPONER LAS MEDIDAS PARA MINIMIZAR PROBABILIDAD Y/O IMPACTO.
DEFINIR Y APROBAR EL MARCO CONCEPTUAL Y LAS METODOLOGÍAS DE ANÁLISIS. APOYO TÉCNICO DE AI.
CONSOLIDAR ANUALMENTE LA INFORMACIÓN DERIVADA DE LA ADMÓN DE RIESGOS.
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
31
Detectar e inventariar las áreas y puntos de riesgo más relevantes en su ámbito.
Analizar y evaluar, para cada una de las áreas de riesgo delimitadas, las deficiencias y debilidades de control existentes (aspectos legales, organizativos y procedimentales, así como los derivados de los medios personales y de las aplicaciones y sistemas informáticos).
Acordar y hacer operativas medidas encaminadas a corregir las deficiencias observadas y a reforzar los sistemas de control y seguridad.
Elaborar, en su caso, las propuestas de normas e instrucciones que requiera la ejecución de las medidas acordadas (complementan las obligaciones y responsabilidades en materia de control de los distintos responsables).
COMITÉS SECTORIALES DE GESTIÓN DE RIESGOS DE LA ATCOMITÉS SECTORIALES DE GESTIÓN DE RIESGOS DE LA AT
Elaborar el Proyecto de Mapa de Riesgos Sectorial y elevar para su aprobación e integración en el Mapa de Riesgo de la AT al Comité de Gestión de Riesgos de la AT.
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
32
INFORMACIÓN Y COMUNICACIÓN:
• Cada Comité Sectorial remitirá al Comité de Riesgos de la AT, información sobre áreas y puntos de riesgo, deficiencias de los sistemas de control detectadas, propuestas realizadas y, en su caso, acordadas, y las medidas adoptadas, así como las actas de las reuniones que celebre.
• Cualquier órgano o servicio de la AT que detecte un problema o deficiencia en los sistemas de seguridad y control, deberá ponerlo en conocimiento del responsable del mismo, que lo comunicará al Comité Sectorial correspondiente.
COMITÉS SECTORIALES DE GESTIÓN DE RIESGOS DE LA ATCOMITÉS SECTORIALES DE GESTIÓN DE RIESGOS DE LA AT
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
33
• Cuando en la instrucción de expedientes disciplinarios se pongan de manifiesto problemas o deficiencias de seguridad y control, el órgano que haya acordado la instrucción deberá comunicarlo, a través de AI, al Comité Sectorial correspondiente, omitiendo los datos y circunstancias personales del expediente.
Colaboración:
• En el ejercicio de sus funciones, los Comités podrán contar con la colaboración de otros órganos de la AT no representados en las mismas a efectos de la realización de trabajos o actividades específicos.
COMITÉS SECTORIALES DE GESTIÓN DE RIESGOS DE LA ATCOMITÉS SECTORIALES DE GESTIÓN DE RIESGOS DE LA AT
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
34
SEGUIMIENTO DE LAS ACTUACIONES DE LOS COMITES
SECTORIALES:
• EL REPRESENTANTE DE AUDITORIA INTERNA APORTARÁ Al
COMITÉ LOS INFORMES DE AUDITORIA, CONCLUSIONES Y
RECOMENDACIONES REALIZADAS POR EL SERVICIO QUE
AFECTEN AL ÁREA DE RESPONSABILIDAD DEL COMITÉ
SECTORIAL.
COMITÉS SECTORIALES DE GESTIÓN DE RIESGOS DE LA ATCOMITÉS SECTORIALES DE GESTIÓN DE RIESGOS DE LA AT
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
35
1. IMPULSO
• Auditoría Interna debe impulsar un proceso de gestión de riesgos adecuado a la organización.
• Auditoría Interna informa a la Dirección de la organización sobre la importancia de una gestión adecuada de los riesgos, exponiendo las ventajas que puede aportar dicha gestión.
ROL DE AI EN LA GESTIÓN DE RIESGOSROL DE AI EN LA GESTIÓN DE RIESGOS
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
36
2. IMPLANTACIÓN
• Una vez adoptada por el Comité de Dirección la decisión de implantar un sistema de gestión de riesgos en la organización, Auditoría Interna debe cumplir un papel proactivo, colaborando en el establecimiento inicial del sistema, e incluso coordinando y dirigiendo el proceso. La implantación se puede realizar de forma escalonada.
ROL DE AI EN LA GESTIÓN DE RIESGOSROL DE AI EN LA GESTIÓN DE RIESGOS
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
37
• Auditoría Interna debe cerciorarse de que la Dirección de la organización adopta todas las decisiones que son necesarias para la puesta en marcha del proceso.
• En particular, Auditoría Interna debe proponer una metodología de gestión de riesgos, divulgándola y explicándola a todos por los grupos o personas que participan en la Dirección o están implicados en su ejecución. La metodología debe adaptarse a cada una de las diferentes fases de elaboración del Mapa de Riesgos.
• Debe resaltarse que la capacitación adecuada de los agentes que intervienen en el proceso de análisis y gestión de los riesgos es un factor crítico del éxito.
ROL DE AI EN LA GESTIÓN DE RIESGOSROL DE AI EN LA GESTIÓN DE RIESGOS
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
38
Auditoría Interna debe asegurarse que el procedimiento adoptado se orienta a los objetivos claves de un proceso de gestión de riesgos.
– 1. Identificación y evaluación de los riesgos.
– 2. Fijación de un nivel de riesgo aceptable.
– 3. Establecimiento de actividades para mitigar y controlar los riesgos.
– 4. Supervisión para reevaluar periódicamente los riesgos y la eficacia de los controles.
– 5. Información periódica a la Dirección sobre los resultados del proceso de gestión de riesgos.
ROL DE AI EN LA GESTIÓN DE RIESGOSROL DE AI EN LA GESTIÓN DE RIESGOS
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
39
SUPERVISIÓN:
Auditoría Interna vela por una adecuada coordinación de las responsabilidades y actividades de los distintos grupos y personas que tengan relación con este proceso para evitar duplicidades o lagunas en el control.
Auditoría Interna debe verificar la información registrada en el modelo de análisis de riesgos y analizar las desviaciones obtenidas en los indicadores de control.
Auditoría Interna debe utilizar los resultados obtenidos como instrumento de planificación para diseñar los programas de su Plan Anual de Actuaciones.
ROL DEL SAI EN LA GESTIÓN DE RIESGOSROL DEL SAI EN LA GESTIÓN DE RIESGOS
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
40
MAPA DE RIESGOS DE LA AT
EL MAPA DE RIESGOS ES UNA REPRESENTACIÓN EL MAPA DE RIESGOS ES UNA REPRESENTACIÓN
GRÁFICA DE LOS PRINCIPALES RIESGOS QUE AFECTAN A GRÁFICA DE LOS PRINCIPALES RIESGOS QUE AFECTAN A
LA CONSECUCIÓN DE LOS OBJETIVOS DE UNA LA CONSECUCIÓN DE LOS OBJETIVOS DE UNA
ORGANIZACIÓN, CATEGORIZADOS EN FUNCIÓN DE SU ORGANIZACIÓN, CATEGORIZADOS EN FUNCIÓN DE SU
PROBABILIDAD DE OCURRENCIA Y DE SU IMPACTO EN PROBABILIDAD DE OCURRENCIA Y DE SU IMPACTO EN
DICHOS OBJETIVOSDICHOS OBJETIVOS
EL MAPA DE RIESGOS DE LA AT ES UN INSTRUMENTO ESENCIAL DE AYUDA A LA DIRECCIÓN
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
41
FASES DE LA ELABORACIÓN DEL MAPA DE RIESGOS1ª) Fijación, catalogación y priorización de los OBJETIVOSFijación, catalogación y priorización de los OBJETIVOS de
cualquier categoría de la organización.
2ª) Identificación, para cada objetivo, de los PROCESOSIdentificación, para cada objetivo, de los PROCESOS y subprocesos efectuados por la organización que se consideren clave para el cumplimiento de aquél.
3ª) IDENTIFICACIÓN DE LOS RIESGOSIDENTIFICACIÓN DE LOS RIESGOS asociados a cada uno de los procesos clave y objetivos.
4ª) EVALUACIÓN DEL RIESGO INHERENTEEVALUACIÓN DEL RIESGO INHERENTE: en ausencia de controles
5ª) Identificación de los CONTROLES YA ESTABLECIDOSIdentificación de los CONTROLES YA ESTABLECIDOS por la organización.
7ª) TRATAMIENTOTRATAMIENTO. Análisis del efecto del riesgo residual e identificación y evaluación de alternativas de tratamiento.
6ª) EVALUACIÓN DEL RIESGO RESIDUALEVALUACIÓN DEL RIESGO RESIDUAL: remanente tras los controles
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
42
RIESGO INHERENTE – RIESGO RESIDUAL
EL RIESGO INHERENTEEL RIESGO INHERENTE es el riesgo en ausencia de
control, es decir, el que existiría si no se hubiesen
adoptado acciones por la organización para alterar o
reducir su probabilidad de ocurrencia.
El RIESGO RESIDUALEl RIESGO RESIDUAL es el riesgo que subsiste tras
los controles ya establecidos por la organización.
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
43
EVALUACIÓN DEL RIESGO
PROBABILIDADPROBABILIDAD
XX
IMPACTOIMPACTO
Probabilidad de que el riesgo Probabilidad de que el riesgo
se materialicese materialice
Daño causado por la Daño causado por la
materialización del riesgo.materialización del riesgo.
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
44
TÉCNICAS DE EVALUACIÓN
CUANTITATIVASCUANTITATIVAS
Modelos Modelos
probabilísticosprobabilísticos
(datos históricos conocidos, (datos históricos conocidos,
simuladores, etc.)simuladores, etc.)
CUALITATIVASCUALITATIVAS
Crítico, alto, medio, bajo
Alto, medio, bajo
1, 2, 3, 4
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
45
PROCESO DE ELABORACIÓN DEL MAPA DE RIESGOS DE LA AT. CRITERIOS Y DIRECTRICES BÁSICAS
OPCIÓN
• Tamaño del Mapa. • Mapa Abreviado: Conjunto limitado y asumible de riesgos.
• Tipología de los riesgos. • Riesgos estratégicos: Comité de Riesgos.• Riesgos operativos: Comités Sectoriales.
• Categoría y nivel de los objetivos, procedimientos y actividades a analizar. • Objetivos y procedimientos vinculados a la misión de la AT .
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
46
PROCESO DE ELABORACIÓN DEL MAPA DE RIESGOS DE LA AT. CRITERIOS Y DIRECTRICES BÁSICAS
OPCIÓN
• Metodología.
• Común. Basada en modelos proformas (fichas de riesgo e informes de objetivos).
• Integración y homogeneización por Auditoría Interna.• Técnica a utilizar para la evaluación de probabilidad e impacto: Análisis
cualitativos.• Propuestas de tratamiento o respuesta al riesgo: Deben incorporar Plan de
implantación, fases, calendario, responsable y sistema de seguimiento y control.
• Supervisión y mejora del Mapa: Incorporar programas específicos al Plan de Actuaciones.
• Nivel de agregación o desagregación del Mapa: Mapa de Riesgos de la AT a nivel nacional sin desagregación territorial.
• Difusión y capacitación: Personal AI y miembros de los Comités Sectoriales.
• Incorporación al Manual de Procedimientos de AI del modelo adoptado para la elaboración, seguimiento, supervisión y actualización del Mapa.
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
47
PROCESO DE ELABORACIÓN DEL MAPA DE RIESGOS DE LA AI 1ª FASE
1ª) LOS COMITÉS SECTORIALES ELABORAN EL MAPA DE RIESGOS DESU ÁREA (FICHAS DE RIESGOS E INFORMES DE OBJETIVOS).
2ª) AUDITORÍA INTERNA EFECTÚA UN ANÁLISIS GLOBAL PARA LA HOMOGENEIZACIÓN E INTEGRACIÓN DE LOS MAPAS SECTORIALES EN UNO SOLO.
3ª) EL COMITÉ DE GESTIÓN DE RIESGOS DE LA AT ANALIZA LA PROPUESTA DE AUDITORÍA INTERNA LA CUAL, UNA VEZ VALIDADA SE ELEVA A LA DIRECCIÓN GENERAL PARA SU APROBACIÓN.
4ª) LA DIRECCIÓN GENERAL APRUEBA EL MAPA PROVISIONAL DE RIESGOS DE LA AT.
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
48
TRABAJO A EFECTUAR POR CADA COMITÉ
1ª) Fijación, catalogación y priorización de los objetivos.
2ª) Identificación de los procesos y subprocesos.
3ª) Identificación de los riesgos.
4ª) Evaluación del riesgo inherente.
5ª) Identificación de los controles ya establecidos .
6ª) Evaluación del riesgo residual.
1ª FASE
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
49
FICHAS DE TRABAJOFICHA DE RIESGO Nº (código del riesgo)
RIESGO INHERENTE RIESGO
CATEGORÍA DEL
RIESGO OBJETIVO
AFECTADO PROCESO CLAVE
VINCULADO PROBABILIDAD IMPACTO TOTAL
DESRIPCIÓN CATEGORÍA SEGÚN
CLASIFICACIÓN DESCRIPCIÓN DESCRIPCIÓN
ALTA CRÍTICO ALTO
ALTO MEDIA MEDIO
BAJA BAJO
BAJO
MEDIO
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
50
FICHA DE RIESGO CONTROLES EXISTENTES – RIESGO RESIDUAL
CONTROL EXISTENTE RIESGO RESIDUAL
CONTROL TIPO PROBABILIDAD IMPACTO TOTAL
DESCRIPCIÓN
ALTA CRÍTICO ALTO
ALTO MEDIA MEDIO
BAJO
AUTOMÁTICO
CONTROL
PERSONAL
BAJA ALERTAS
SI
NO
BAJO
MEDIO
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
51
CATEGORÍAS DE LOS RIESGOS1.1. RIESGOS DE NATURALEZA ESTRUCTURAL O INSTITUCIONALRIESGOS DE NATURALEZA ESTRUCTURAL O INSTITUCIONAL(estructura de la AT,
central y territorial, planificación estratégica, dirección)
2.2. RIESGOS VINCULADOS A LA GESTIÓN ECONÓMICO-FINANCIERARIESGOS VINCULADOS A LA GESTIÓN ECONÓMICO-FINANCIERA (medios materiales y financieros)
3.3. RIESGOS VINCULADOS A LA GESTIÓN INMOBILIARIA.RIESGOS VINCULADOS A LA GESTIÓN INMOBILIARIA.
4.4. RIESGOS EN LAS COMUNICACIONESRIESGOS EN LAS COMUNICACIONES (voz, teléfono, fax, papel, etc.)
5.5. RIESGOS DE CUMPLIMIENTO DE NORMASRIESGOS DE CUMPLIMIENTO DE NORMAS (generales e instrucciones internas)
6.6. RIESGOS DE INFORMACIÓN PARA LA GESTIÓNRIESGOS DE INFORMACIÓN PARA LA GESTIÓN (integridad y disponibilidad)
7.7. RIESGOS EN LOS PROCESOS DE GESTIÓNRIESGOS EN LOS PROCESOS DE GESTIÓN (diseño, calidad, eficacia y eficiencia)
8.8. RIESGOS DE RECURSOS HUMANOSRIESGOS DE RECURSOS HUMANOS (capacidad, conducta, seguridad e higiene, satisfacción y motivación)
9.9. RIESGOS DE SISTEMAS INFORMÁTICOSRIESGOS DE SISTEMAS INFORMÁTICOS (hardware, software y redes)
10.10. RIESGOS DE SEGURIDAD DE LA INFORMACIÓNRIESGOS DE SEGURIDAD DE LA INFORMACIÓN (accesos y cesión)
11.11. RIESGOS EXTERNOSRIESGOS EXTERNOS (políticas públicas, cambios legislación, entidades colaboradoras, otras administraciones tributarias)
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
52
EVALUACIÓN:BAJO 1 - 2
MEDIO 3 - 4
ALTO 6
CRÍTICO 9
EVALUACIÓN DEL RIESGO
EVALUACIÓN
PROBABILIDAD alta (3), media (2), baja (1)
IMPACTO alto (3), medio (2), bajo (1)
=
PROBABILIDAD DE OCURRENCIA
X
IMPACTO EN EL OBJETIVO AFECTADO
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
53
PROBABILIDAD - IMPACTO
PROBABILIDAD
ALTA: > 15%
MEDIA: 5-15 %
BAJA: < 5%
IMPACTO
ALTO: compromete gravemente la
consecución del objetivo.
MEDIO: tiene una incidencia media en la consecución del objetivo.
BAJO: tiene una incidencia baja en la
consecución del objetivo.
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
54
PROCESO DE ELABORACIÓN DEL MAPA DE RIESGOS DE LA AT 2ª FASE
1ª) EL COMITÉ DE GESTIÓN DE RIESGOS DEBE SELECCIONAR QUÉ
RIESGOS DE LOS EVALUADOS EN EL MAPA ESTÁ A UN NIVEL NO
ASUMIBLE POR LA ORGANIZACIÓN. TENIENDO EN CUENTA TANTO
LA PROPIA EVALUACIÓN DEL RIESGO COMO LA IMPORTANCIA
ESTRATÉGICA DEL OBJETIVO AFECTADO (MAPA PROVISIONAL).
2ª) DEFINIDOS LOS RIESGOS QUE, INICIALMENTE, VAN A INTEGRAR EL
MAPA DE RIESGOS DE LA AT, DEBEN VOLVER A LOS COMITÉS
SECTORIALES PARA QUE PRESENTEN TRATAMIENTOS
COMPLEMENTARIOS O ALTERNATIVOS A LO EXISTENTE PARA
MITIGARLOS.
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
55
2ª FASE2ª FASETRATAMIENTO DE LOS RIESGOSTRATAMIENTO DE LOS RIESGOS
MITIGACIÓN DE LOS RIESGOSMITIGACIÓN DE LOS RIESGOS:
LLEVAR LOS RIESGOS A UN NIVEL ACEPTABLE POR LA
ORGANIZACIÓN
4 RESPUESTAS
EVITAR
REDUCIR
COMPARTIR
ACEPTAR
TODAS ELLAS IMPLICAN ALGÚN TIPO DE COSTECOSTE, DIRECTO O INDIRECTO, QUE SE DEBE SOPESAR EN RELACIÓN CON EL BENEFICIOBENEFICIO QUE GENERAN.
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
56
1ª) Identificación de un tratamiento con medidas alternativas y/o complementarias a las existentes, señalando ventajas o inconvenientes y, en su caso, coste.
2ª) Diseño de un plan de implantación.
Ámbito Responsable Plazo
3ª) Controles propuestos.
Responsables. Periodicidad.
2ª FASE2ª FASETRATAMIENTO DE LOS RIESGOSTRATAMIENTO DE LOS RIESGOS
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
57
FICHA DE RIESGO Nº (CÓDIGO DEL RIESGO)FICHA DE RIESGO Nº (CÓDIGO DEL RIESGO)
2ª FASE2ª FASETRATAMIENTO DE LOS RIESGOSTRATAMIENTO DE LOS RIESGOS
TRATAMIENTO MEDIDAS PLAN DE IMPLANTACIÓN CONTROLES PROPUESTOS
DESCRIPC. VENTAJAS INCONVEN. COSTE RESPONSABLE PLAZO DE
EJECUCIÓN RESPONSABLE PERIODICIDAD
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
58
SUPERVISIÓN Y MEJORA CONTINUASUPERVISIÓN Y MEJORA CONTINUA
LA UTILIZACIÓN DEL MAPA DE RIESGOS COMO LA UTILIZACIÓN DEL MAPA DE RIESGOS COMO INSTRUMENTO DE GESTIÓN ES UN PROCESO DINÁMICOINSTRUMENTO DE GESTIÓN ES UN PROCESO DINÁMICO
Una vez elaborado el mapa e implantadas las medidas de tratamiento, hay que reevaluar los riesgos.
El objetivo es conseguir que riesgos inicialmente rojos pasen a naranjas y así sucesivamente, lo que indicaría una mejora de la organización en el tratamiento de sus riesgos.
Si no se producen estos cambios, será consecuencia de una inadecuada selección del tratamiento o de una aplicación incorrecta del mismo.
La situación ideal es que el proceso sea continuo.