• ASPECTOS METODOLÓGICOS PARA LA CONSTRUCCIÓN DE UNA MATRIZ DE

RIESGOS MUNICIPAL

Marzo - 2012

GESTIÓN DE RIESGOS – AUDITORÍA

* NIVEL ESTRATÉGICO INSTITUCIONAL

* NIVEL OPERATIVO ( PROCESOS)

GESTIÓN DE LOS RIESGOS EN LA PLANIFICACIÓN

Y EJECUCIÓN DE UN PLAN DE AUDITORÍA

* NIVEL ESTRATÉGICO:

MATRIZ DE RIESGOS ESTRATÉGICA

INSTITUCIONAL

PLAN ESTRATÉGICO DE

AUDITORIA

* NIVEL OPERATIVO:

MATRIZ DE RIESGOS OPERATIVOS DE PROCESOS.

PROGRAMA DE AUDITORÍA

PROCESO

PLAN

ESTRATÉGICO DE

AUDITORÍA

MATRIZ “ESTRATÉGICA

DE RIESGOS”

(INSTITUCIONAL) MATRIZ ABIERTA - 2.xls

F(x): •Misión

•Objetivos estratégicos

•Riesgos estratégicos

•Procesos

•Riesgos inherentes y de control

•Riesgo combinado

EJECUCIÓN DE

PROGRAMAS DE

AUDITORÍA

MATRICES DE

“RIESGOS OPERATIVOS”

POR

PROCESOS

ACTUALIZACIÓN

•LEVANTAMIENTO DE

PROCESOS/SUBPROCESOS

•ACTIVIDADES

•FACTORES DE RIESGO

•INCIDENCIAS

•NIVELES DE RIESGOS

•INHERENTES Y DE

•CONTROL

•RIESGOS COMBINADOS

•Orientaciones estratégicas

•Recursos humanos, técnicos y

financieros.

•Prioridades de la autoridad

•Otras demandas de la comunidad

• DESCRIPCIÓN GLOBAL DE LA METODOLOGÍA

– El modelamiento del negocio municipal y la identificación de los macroprocesos, procesos y subprocesos correspondientes.

– Aplicación de la metodología de auditoría. Ejecución de programas de auditoría.(control deliberado)

APLICACIÓN DE LA METODOLOGÍA

I.- MODELAMIENTO DEL NEGOCIO.

IDENTIFICACIÓN DE LOS MACROPROCESOS CRÍTICOS.

• Selección de los macroprocesos críticos de una Municipalidad, en relación con el cumplimiento de los objetivos estratégicos y de la doctrina institucional .

• Uso de una escala de calificación para determinar el nivel de incidencia de un determinado macroproceso y la matriz de identificación de macroprocesos críticos.

• Determinación de los Macroprocesos, procesos y subprocesos de una Municipalidad/Entidad a partir de un análisis del Negocio.

MISIÓN Y OBJETIVOS ESTRATÉGICOS

• Producto estratégico: auditorías

Garantizar el

Desarrollo de la

Comuna , mediante una

Gestión con un alto

nivel de excelencia.

Propender al

resguardo y

cumplimiento

de la Probidad

Administrativa

Resguardar el

Patrimonio

Público garantizando

Que los recursos

Sean administrados

eficientemente y

Con transparencia

Proveer

información

oportuna y de

calidad a los

diversos usuarios

Misión: Garantizar el desarrollo comunal, atendiendo al ordenamiento jurídico, la protección y debido uso del patrimonio

público, la preservación y fortalecimiento de la probidad administrativa

y la fidelidad y transparencia de la gestión municipal.

Finalidades que deben lograrse con un alto nivel de

excelencia.

APLICACIÓN DE LA METODOLOGÍA…

• Todos los Macroprocesos de la Municipalidad/Entidad se llevan a una “Matriz de Identificación de Macroprocesos Críticos”, con objetivos de la doctrina institucional.

• Criterio para calificar los procesos como críticos:

– según su nivel de incidencia en el cumplimiento de cada uno de los objetivos de la doctrina institucional.

• Uso de una escala de calificación que va de 0 a 3.

APLICACIÓN DE LA METODOLOGÍA…

• Se relacionan todos los macroprocesos con los objetivos estratégicos, calculándose el promedio de los niveles de incidencia de cada uno.

• Finalmente se seleccionan los macroprocesos críticos, utilizando para ello la misma escala de calificación , considerándose como crítico, aquellos procesos cuyo nivel promedio de incidencia fluctúa entre 2 y 3.

• En una primera aplicación se sugiere que todos macroprocesos tengan un nivel de incidencia alto (entre 2 y 3), por lo tanto, todos ellos sean considerados críticos en la Matriz de Riesgo de la Municipalidad/Entidad .

ESCALA DE CALIFICACION DE MACROPROCESOS CRITICOS

Nivel Descripción Calificación

Alto El macroproceso incide de manera fundamental en la

determinación del nivel de riesgo de la Municipalidad, en

relación con el cumplimiento de los objetivos estratégicos

institucionales.

3

Medio El macroproceso incide de manera importante en la

determinación del nivel de riesgo de la Municipalidad, en

relación con el cumplimiento de los objetivos estratégicos

institucionales.

2

Bajo El macroproceso incide de manera menor en la determinación

del nivel de riesgo de la Municipalidad, en relación con el

cumplimiento de los objetivos estratégicos institucionales.

1

Nulo El macroproceso NO incide en la determinación del nivel de

riesgo de la Municipalidad, en relación con el cumplimiento de

los objetivos estratégicos institucionales.

0

Identificación de los Macroprocesos Críticos

• METODOLOGÍA PARA LA

CONSTRUCCIÓN DE UNA MATRIZ

DE RIESGO ESTRATÉGICA

INSTITUCIONAL

¿Qué y para qué es una Matriz de Riesgo?

Herramienta de control y de gestión normalmente

utilizada para:

a.- Identificar las actividades (procesos y productos)

más importantes de una institución financiera,

b.- Identificar el tipo y nivel de riesgos inherentes a

estas actividades y los factores externos e internos

que engendran estos riesgos (factores de riesgo).

¿Qué y para qué…. es una Matriz de Riesgo?...

• Permite evaluar la efectividad de una adecuada gestión

y administración de los riesgos “estratégicos” (nivel

estratégico de análisis) y “operativos” ( nivel operativo

de análisis), que impactan la misión de la organización.

Controles.

• La matriz debe ser una herramienta flexible que

documente los procesos y evalúe de manera global el

riesgo de una institución.

¿Qué.. Y para qué es una Matriz de Riesgo?...

• Permite realizar un diagnóstico objetivo de la situación

global de riesgo de una institución.

• Permite una participación más activa de las unidades

de negocios, operativas y funcionales en la definición de

la estrategia institucional de riesgo de la entidad.

• Finalmente, una Matriz de Riesgo adecuadamente

diseñada y efectivamente implementada se convierte

en soporte conceptual y funcional de un efectivo

Sistema Integral de Gestión de Riesgo.

• CONSTRUCCIÓN DE UNA MATRIZ

DE RIESGO ESTRATÉGICA

INSTITUCIONAL.

1.- IDENTIFICAR MACROPROCESOS / PROCESOS

INSTITUCIONALES.

IMPORTANTE: PROCESOS DISTINTOS PARA CADA AREA

DE GESTIÓN: MUNICIPAL – DAEM -

DASM - CORPORACIÓN

• Municipalidad. Área central:

Ej.: MACROPROCESO: “GENERACIÓN DE INGRESOS”

PROCESOS:

PERMISOS DE CIRCULACION

PATENTES CIPA

DERECHOS VARIOS

IDENTIFICAR MACROPROCESOS - PROCESOS

INSTITUCIONALES…

MATRICES PLENAS\Matriz_DEM.xls

• Municipalidad : Departamento de Administración de

la Educación – DAEM .

Ej.: MACROPROCESO: SUBVENCIÓN “SEP”

PROCESO:

Suministro de Bs. Y Ss.

R.R.H.H.

• Municipalidad: Departamento de Administración de

salud Atención Primaria.

• Ej: MACROPROCESO: ABASTECIMIENTO

PROCESO:

Compra de fármacos

2.- IDENTIFICAR FACTORES DE RIESGOS DE

LOS PROCESOS

Ejs.: Que el registro de permisos y/o derechos esté

desactualizado.

Que se utilicen formas erróneas en las compras y

contrataciones, contravención a la ley 19886

Que algunos bienes no ingresen a bodega

Ausencia de rendiciones

Distracción de recursos en fines ajenos.

3.- PONDERAR IMPORTANCIA O INCIDENCIA DE CADA

PROCESO ( SUMA DE PROCESOS = 100% = MACROPROCESO ).

MACROPROCESO : INGRESOS DE

OPERACIÓN.

PROCESOS PONDERACION

P.CIRCULACION 40%

PATENTES 40%

DERECHOS 20%

100%

4.- PONDERAR INCIDENCIA DEL FACTOR DE RIESGO.

(SUMA DE PONDERACIONES DE FACTORES = 100% = PROCESO).

PROCESO FACTORES DE

RIESGO

PONDERACION

TRANSFERENCIAS Carencia de procedimientos

formalmente aprobados en

la recaudación efectiva de

depósito de los recursos

transferidos

40%

Deficiencias en el ingreso y

registro de la totalidad de

las remesas

35%

Contabilización inoportuna

de las operaciones

25%

5.- EVALUAR EL “RIESGO INHERENTE” DEL RESPECTIVO

FACTOR DE RIESGO DEL PROCESO.

• Riesgo Inherente: Son aquellos que se presentan

independientes a las características del Sistema de

Control Interno.

• Los riesgos asociados con la naturaleza de la temática.

• CAIGG. Es la posibilidad de que existan errores o

irregularidades en la gestión administrativa y

financiera, antes de verificar la eficiencia del control

interno diseñado y aplicado por el ente a ser auditado.

Este riesgo tiene relación directa con el contexto global

de una institución e incluso puede afectar a su gestión.

• El auditor determina el nivel de riesgo inherente, en base a juicio experto, considerando el análisis del diseño de dichos macroproceso:

– Un macroproceso bien diseñado es aquel que no presenta posibilidades viables de reducir o eliminar sus factores de riesgos, por lo cual su nivel de riesgo es bajo.

– Un macroproceso con un diseño regular es aquel que presenta posibilidades viables de reducir o eliminar sólo algunos de sus factores de riesgos, por lo cual su nivel de riesgo es medio.

– Un macroproceso mal diseñado es aquel que presenta posibilidades viables de reducir o eliminar gran parte de sus factores de riesgos, por lo cual su nivel de riesgo es alto.

5.- EVALUAR EL “RIESGO INHERENTE” DEL RESPECTIVO

FACTOR DE RIESGO DEL PROCESO.

Factor Riesgo

NIVEL RIESGO

INHERENTE DEL

FACTOR DE RIESGO

COLOR ASOCIADO

(CONVENCION)

Mala formulación del

Presupuesto

ALTO

ROJO

Subestimación del

presupuesto de gastos

MEDIO

AMARILLO

Déficit presupuestario BAJO

VERDE

6.- EVALUAR EL “ RIESGO DE CONTROL” ASOCIADO AL

FACTOR DE RIESGO DEL PROCESO.

Nota: 1er. Proceso ( construcción de matriz), según opinión de

auditor experto .

• Riesgo de Control: Aquel que existe y que se propicia por

falta de control de las actividades de la entidad. Directa

relación con deficiencias del Sistema de Control Interno.

• El riesgo de que los controles sobre la temática no existan u

operen inefectivamente.

• CAIGG. Es la posibilidad de que los procedimientos de control

interno incluyendo a la unidad de auditoría interna, no

puedan prevenir o detectar los errores significativos de

manera oportuna.

• El Auditor debe analizar posteriormente el “Riesgo de Control”, en base al juicio experto, con el objetivo de calificar dicho riesgo de acuerdo a lo siguiente:

– Un control bien diseñado es aquel que previene o mitiga totalmente el factor de riesgo (BAJO).

– Un control con un diseño regular es aquel que permite que en ocasiones el factor de riesgo ocurra (MEDIO).

– Un control con un mal diseño es aquel que permite que el factor de riesgo ocurra siempre (ALTO).

• Concluir sobre el “Riesgo Combinado” en base al análisis del Riesgo Inherente y del Riesgo de Control calificando dicho riesgo en alto, medio o bajo.

6.- EVALUAR EL “ RIESGO DE CONTROL” ASOCIADO AL

FACTOR DE RIESGO DEL PROCESO.

Nota: 1er. Proceso ( construcción de matriz), según opinión de auditor

experto .

FACTOR DE RIESGO NIVEL RIESGO DE

CONTROL

COLOR ASOCIADO

(CONVENCION)

Que lo recaudado “no

ingrese”.

ALTO ROJO

Cheques girados y

cobrados sin el respaldo

de un egreso.

MEDIO AMARILLO

Pagos con respaldo

parcial o insuficiente.

BAJO VERDE

7.- DETERMINAR EL “RIESGO COMBINADO” DE:

a.- FACTOR DE RIESGO

b.-PROCESO

c.- MACROPROCESO

• Concluir sobre el “Riesgo Combinado” en base al análisis del Riesgo Inherente y del Riesgo de Control calificando dicho riesgo en alto, medio o bajo.

Macroproceso: “Recursos en Administración”

Proceso: “Proyectos”

Factor Riesgo

Ponderaci

on del

factor

Riesgo

Inherente

Riesgo

Control

Riesgo

Combinado

del Factor

Riesgo

Riesgo

Combinado

del Proceso

Desvío de

recursos MEDIO BAJO BAJO

Falta de

rendiciones MEDIO ALTO MEDIO

Aplicación de

recursos a objetivos

distintos del

programa

ALTO BAJO MEDIO

Evaluar el Riesgo Combinado y Concluir Sobre el Control Interno

Evaluar

Riesgo Combinado

( Inherente y de Control)

Elemento de

Base para

Diseñar

Procedimientos

de Auditoría

Evaluar el

Riesgo

de Control

Evaluar el

Riesgo

Inherente

Conclusión de Evaluación de

Entorno de Control General y de

Control Informático y el Riesgo de

Fraude

Matriz de

Riesgo

Combinado

Actividad

Siguiente

Concluir Riesgo

en Auditorías

Específicas

8.- LA EJECUCIÓN DE AUDITORÍAS PERMITE

RETROALIMENTAR LA MATRIZ DE RIESGOS

(MODIFICÁNDOLA), CAMBIANDO

EVENTUALMENTE LAS PRIORIDADES PARA

POSTERIORES PLANIFICACIONES.

Matriz de riesgos

Estratégica institucional

Proceso de

Planificación del

control.

( Plan de Auditoría )

9.- LA FORMULACIÓN DE UN PLAN DE AUDITORÍA NO

ES SOLO LA RESULTANTE DE UN ANÁLISIS DE LOS

RIESGOS.

TAMBIÉN INFLUYEN OTROS FACTORES EN LA

FORMA DE UNA “DEMANDA NO CONTROLADA”:

políticas y/o programas gubernamentales, comunidad, entre

otros.

OBJETIVOS + RIESGOS – CONTROLES = EXPOSICIÓN

• CONSTITUCIÓN POLÍTICA

• LEY ORGÁNICA

• LEY DE ADM FINANCIERA

• OTROS CUERPOS LEGALES.

• PLANES GUBERNAMENTALES

• PLANES MINISTERIALES.

• CIUDADANOS EN GENERAL.

• ERRORES ACCIDENTALES.

• Operacionales.

• Financieros.

• Legales.

• Tecnológicos.

• ERRORES INTENCIONALES.

• Operacionales.

• Financieros.

• Legales.

• Tecnológicos.

• FALTAS A LA PROBIDAD.

• Negación de Servicios.

• Abuso de Poder

• Malversación

• Fraudes:

• Económicos.

• Tecnológicos.

•Etc

NORMAS LEGALES

• PRESUPUESTO

• ORGÁNICAS INSTITUCIONALES.

• CULTURA ORGANIZACIONAL

• RESPONSABILIDAD

ADMINISTRATIVA

• AUDITORIAS ANTERIORES

• AUDITORIAS INTERNAS

• CAPACITACIÓN

PLAN ESTRATEGICO DE

AUDITORIA•

EFECTUAR AUDITORIAS

CON LA FINALIDAD DE:

DETENER O DISMINUIR

EL RIESGO

• DECISIÓN DE NO EFECTUAR

AUDITORIAS SIGNIFICA:

ASUMIR EL RIESGO

CUMPLIR

REQUERIMIENTOS

DE CONTROL

ESTABLECIDOS POR:

AMENAZAS

EXISTENTES EN LA

COBERTURA DE

FISCALIZACIÓN.

RESGUARDOS LEGALES,

NORMATIVOS, TECNICOS ,

QUE FACILITAN EL

LOGRO DE LAS METAS.

FASE DE

DEFINICIÓN DE

LAS ACCIONES DE

AUDITORIA A

DESARROLLAR

Misión, Objetivos

Estratégicos y Prioridades

Institucionales

MODELO DE PLANIFICACIÓN

DEL CONTROL

Proyectos Especiales

Servicio/Entidad

Municipio/Daem/Dasm/

Matriz de Riesgo Estratégica

Institucional

PLANIFICACIÓN

Demanda Autogenerada

Prioridad de Auditorias

Demanda Imprevisible

RECURSOS Programas de Auditorías

Ejecución de Auditoría

Control de Gestión

CORPORATIVOS

• ASPECTOS METODOLÓGICOS PARA LA CONSTRUCCIÓN DE UNA MATRIZ DE

RIESGOS MUNICIPAL

Marzo - 2012