Instructivo para la Identificación, Análisis y Gestión de Riesgos

Órgano Judicial Corte Suprema de Justicia

Dirección de Planificación Institucional

“Identificación , Análisis y Gestión de Riesgos ”

ORGANO JUDICIAL CORTE SUPREMA DE JUSTICIA

IINNSSTTRRUUCCTTIIVVOO PPAARRAA LLAA IIDDEENNTTIIFFIICCAACCIIÓÓNN,, AANNÁÁLLIISSIISS YY GGEESSTTIIÓÓNN DDEE RRIIEESSGGOOSS

ELABORADO POR: DIRECCIÓN DE PLANIFICACIÓN INSTITUCIONAL

San Salvador, Febrero – 2007 El Salvador, C.A.




2

CONTENIDO

Página

I. PRESENTACIÓN 4

II. OBJETIVO DEL INSTRUCTIVO 6

III. MARCO LEGAL 6

IV. MARCO CONCEPTUAL 8

V. AMBITO DE APLICACIÓN 10

VI. PARTICIPANTES Y NIVELES DE RESPONSABILIDAD 10

VII. NORMAS Y POLÍTICAS 14

VIII. PROCEDIMIENTO 19

IX. VIGENCIA 22

ANEXOS: Formularios y Ejemplo 23

GLOSARIO 38




3

APROBACIÓN Y VIGENCIA

EL INFRASCRITO GERENTE GENERAL DE ADMINISTRACIÓN Y FINANZAS, POR

DELEGACIÓN DEL PRESIDENTE DEL ÓRGANO JUDICIAL Y DE LA CORTE SUPREMA

DE JUSTICIA, según Acuerdo Nº. 139 bis del 7 de julio de 2000, Artículo 27 de la

Ley Orgánica Judicial; y en cumplimiento al Art. 28, 29 y 30 de las Normas Técnicas

de Control Interno Específicas del Órgano Judicial, relacionadas con la “Identificación

y Valoración de Riesgos”, APRUEBA Y AUTORIZA el uso del Instructivo para la

Identificación, Análisis y Gestión de Riesgos.

Por tanto, el INSTRUCTIVO PARA LA IDENTIFICACIÓN, ANÁLISIS Y GESTIÓN DE

RIESGOS, entrará en vigencia a partir del primero de febrero del año dos mil siete.

Presenta:__________________________________

Lic. Camilo Guevara Morán Director de Planificación Institucional

Autoriza: ______________________________ Lic. Oscar Armando Morales Rodríguez

Gerente General de Administración y Finanzas




4

I. PRESENTACIÓN

A partir de la aprobación del Reglamento de Normas Técnicas de Control Interno

Específicas del Órgano Judicial (NTCIE), el cual responde a exigencias de las Normas

Técnicas de Control Interno -NTCI1-, inicia la fase de la implementación del proceso

de valoración de riesgos institucionales, constituyendo el ámbito de aplicación todas

las unidades organizativas, con sus respectivos funcionarios y empleados, bajo el

marco referencial del Plan Estratégico Institucional y de los Planes Anuales

Operativos.

El objetivo principal de este proceso es proporcionar una “seguridad razonable” de

que las operaciones institucionales se realicen con eficiencia, efectividad y eficacia,

esto conlleva la apropiada utilización de los recursos, la confiabilidad y oportunidad

de la información, tanto para uso interno como externo, así como el ordenamiento

jurídico y técnico aplicable; asegurando así el cumplimiento de los objetivos y metas

institucionales.

En congruencia con lo anterior, se han generado una serie de actividades e

iniciativas institucionales para crear un sistema que articule orgánicamente los

procesos y los resultados de la evaluación y el control. Para ello, ha sido necesario la

preparación de un Instructivo para la Identificación, Análisis y Gestión de Riesgos,

en correspondencia con lo que dispone el Reglamento de las NTCIE.

1 Las NTCI establecen el marco normativo básico de un sistema de control de entidades públicas, que a su vez constituyen un subsistema del “Sistema Nacional de Control y Auditoria de la Gestión Pública”.




5

El Instructivo define el proceso lógico y sistemático a ser utilizado en la valoración

de riesgos. Dicho proceso que de ahora en adelante se conocerá como

“Identificación, Análisis y Gestión de Riesgos” implica establecer el contexto, la

identificación, el análisis, la evaluación, el tratamiento, el control, la revisión y el

monitoreo de los riesgos.

En este marco, el presente documento pretende facilitar dicho proceso a cada una

de las unidades organizativas que conforman el Órgano Judicial, estandarizando la

metodología para identificar, analizar y gestionar los Riesgos, orientando en forma

práctica la recopilación de información y aplicación de las técnicas de valoración de

riesgos, indicando el uso adecuado de métodos, procedimientos, llenado de

formularios, informes etc.

A pesar de que no es posible tener un medio ambiente totalmente libre de riesgos, sí

es posible eludir, reducir, eliminar o controlar ciertos riesgos por medio de una

adecuada administración de los mismos; por supuesto, esta actividad requiere de

una exacta identificación y una certera valoración, aspectos que se pretende

favorecer mediante el presente instructivo.




6

II. OBJETIVO DEL INSTRUCTIVO

Proporcionar una guía metodológica que brinde la orientación general a todas las

unidades organizativas de la institución, para desarrollar el proceso de Identificación,

Análisis y Gestión de Riesgos, a fin de dar cumplimiento a lo establecido en las

Normas Técnicas de Control Interno Específicas del Órgano Judicial.

III. MARCO LEGAL

El Órgano Judicial se encuentra actualmente inmerso en un proceso de

modernización, que implica mantener una mejora constante que permita brindar a la

población un servicio de Administración de Justicia lo más eficiente posible. En este

proceso, se han dado diferentes esfuerzos orientados a fortalecer y modernizar el

marco normativo de aplicación interna y externa.

Se destaca la elaboración de las Normas Técnicas de Control Interno Específicas del

Órgano Judicial (NTCIE), en congruencia con el marco general del sistema de control

establecido por la Corte de Cuentas de la República; estas acciones responden a las

obligaciones plasmadas en diferentes instrumentos legales, estableciendo como

ámbito de aplicación a todas las unidades organizativas del Órgano Judicial con sus

respectivos funcionarios y empleados.

Con la finalidad de proporcionar una visión integral para la aplicación del instructivo,

así como facilitar la consulta de la normativa que debe respetarse en la

administración de riesgos, a continuación se presenta el marco legal que lo

fundamenta, el cual está integrado de la manera siguiente:




7

Constitución de la República, 1983; Art.195, numeral 4: norma de mayor

jerarquía dentro del ordenamiento jurídico nacional mediante la cual se asigna

a la Corte de Cuentas de la República, la atribución de fiscalización en las

entidades públicas, o que se costeen con fondos del erario nacional.

Ley de Corte de Cuentas: Que establece el sistema de control interno

financiero y administrativo, para tener y proveer seguridad razonable en el

desarrollo de las operaciones institucionales.

Decreto No.4 de fecha 14 de septiembre de 2001, mediante el cual la Corte de

Cuentas de la República emitió las Normas Técnicas de Control Interno que

dictan las normas en el Modelo Estándar de Control Interno para el Estado

Salvadoreño de las entidades de la Administración Pública, modificando

totalmente la ley vigente reformada en el año 2000.

Reglamento de Normas Técnicas de Control Interno Específicas del Órgano

Judicial; Diario Oficial No.100, Tomo No.371 del 1 de junio de 2006. Que

constituye el marco general que establece la Corte Suprema de Justicia

aplicable a todas las unidades organizativas del Órgano Judicial y sus

servidores, en el ámbito administrativo y financiero.

Normas Técnicas de Control Interno Específicas del Órgano Judicial, Artículos

28, 29 y 30.




8

IV. MARCO CONCEPTUAL

Debido a la diversidad de conceptos y definiciones en torno a la temática referida al

control interno y a la valoración de riesgos, se presenta a continuación la base

conceptual en la que se fundamenta el Instructivo de Identificación, Análisis y

Gestión de Riesgos, que forma parte integral del sistema de control interno del

Órgano Judicial.

Al considerar que el control es una función básica dentro de cualquier proceso de

organización y administración, que facilita la evaluación ejecutiva, incluyendo su

seguimiento y revisión sistemática y de conformidad al informe presentado por la

Comisión Treadway, conocido como informe COSO, en el cual se proporciona una

nueva conceptualización del Control Interno; la Corte de Cuentas de la República

decreta en septiembre del 2004, un reglamento conteniendo las Normas Técnicas de

Control Interno (NTCI).

Estas constituyen el marco legal de un sistema de control de entidades públicas, que

a su vez conforma un subsistema del “Sistema Nacional de Control y Auditoría de la

Gestión Pública”.Las NTCI regulan la práctica del control interno en general,

existiendo para cada una de las entidades que se costean con fondos públicos la

obligación legal de establecer sus propias NTCI, de carácter específico (NTCIE),

aplicables a sí mismas con carácter obligatorio.

El denominado "INFORME COSO" sobre control interno, publicado en EE.UU. en

1992, surgió como una respuesta a las inquietudes que planteaban la diversidad de

conceptos, definiciones e interpretaciones existentes en torno a la temática referida.

Plasma los resultados de la tarea realizada durante más de cinco años por el grupo

de trabajo que la TREADWAY COMMISSION, NATIONAL COMMISSION ON

FRAUDULENT FINANCIAL REPORTING creó en Estados Unidos en 1985 bajo la sigla

COSO (COMMITTEE OF SPONSORING ORGANIZATIONS).




9

El objetivo fundamental era definir un nuevo marco conceptual del control interno,

capaz de integrar las diversas definiciones y conceptos que venían siendo utilizados

sobre este tema, logrando así que, al nivel de las organizaciones públicas o privadas,

de la auditoría interna o externa, o de los niveles académicos o legislativos, se

cuente con un marco conceptual común, una visión integradora que satisfaga las

demandas generalizadas de todos los sectores involucrados.

El marco integrado de control que plantea el informe COSO consta de cinco

componentes interrelacionados, derivados del estilo de dirección e integrados al

proceso de gestión:

Ambiente de control Valoración de riesgos Actividades de control Información y comunicación Supervisión

La Valoración de Riesgos como componente esencial dentro del sistema de control

interno, consiste en la identificación y análisis de los factores tanto de origen interno

como externo que pueden ser impedimentos relevantes para la consecución de los

objetivos previstos, se refiere al proceso interactivo continuo y a la metodología

mediante la cual la institución identifica las áreas de más alto riesgo, que ameritan

la mayor atención y la asignación de recursos para la aplicación de medidas de

control.




10

En concordancia a lo establecido en las NTCIE del Órgano Judicial, se hace necesario

para limitar los riesgos que afectan las actividades de la institución, la identificación,

evaluación y administración de los mismos por medio del diseño e implantación de

un eficiente sistema de control interno.

V. ÁMBITO DE APLICACIÓN

El Instructivo para la Identificación, Análisis y Gestión de Riesgos es aplicable con

carácter obligatorio, a todas las unidades organizativas del Órgano Judicial, de la

Corte Suprema de Justicia y sus servidores, en el ámbito jurisdiccional,

administrativo y financiero y servirá para orientar y coordinar las actividades

relacionadas con el proceso de administración de los riesgos institucionales.

VI. PARTICIPANTES Y NIVELES DE RESPONSABILIDAD

A. Comisión de Gestión Integral de Riesgos

1) Integrantes:

a) Presidente(a) del Órgano Judicial y de la Corte Suprema de Justicia.

b) Un Magistrado(a) de la Corte Suprema de Justicia.

c) Gerente(a) General de Administración y Finanzas.

d) Gerente(a) General de Asuntos Jurídicos.

e) Secretario(a) General.

f) Director(a) de Planificación Institucional.




11

2) Responsabilidades:

a) Aprobar normas y políticas.

b) Aprobar el Perfil o Mapa de Riesgos Institucionales.

c) Informar a Corte Plena.

d) Asignar y gestionar recursos.

e) Recibir información de la Comisión Evaluadora de Riesgos

Institucionales.

f) Recibir informes del Comité de Control Interno

B. Comisión Evaluadora de Riesgos Institucionales

1) Integrantes:

a) Gerente(a) General de Administración y Finanzas.

b) Gerente(a) General de Asuntos Jurídicos.

c) Secretario(a) General.

d) Director(a) de Planificación Institucional.

e) Directores(as) que integran las dos Gerencias Generales.


a) Definir metodologías para la identificación, análisis, evaluación,

monitoreo y reporte de riesgos.

b) Definir y proponer normas y políticas, para la gestión de riesgos.

c) Proponer programas de capacitación y sensibilización.

d) Establecer necesidades de información.

e) Informar a la Comisión de Gestión Integral de Riesgos.

f) Recibir información de los Comités Coordinadores de Análisis y

Evaluación de Riesgos.

g) Consolidar la información en un Mapa de Riesgos Institucionales.




12

C. Comités de Coordinadores de Análisis y Evaluación de Riesgos

1) Integrantes

a) Representantes de las Áreas de Dirección Superior, Asesorías, Jurídica-

Legal, Administrativa y Jurisdiccional.

b) Representantes de cada Dirección y Departamento, (Coordinadores por

Unidad Organizativa).


a) Identificar, analizar, evaluar y minimizar los riesgos de los procesos de

cada una de las Áreas de Trabajo de la Institución.

b) Proporcionar seguimiento a los riesgos mediante indicadores.

c) Reportar riesgos.

d) Participar en la definición e implementación de las acciones correctivas.

e) Realizar autoevaluaciones.

f) Garantizar la disponbilidad de responsables de riesgos en cada Unidad

Organizativa.

g) Informar a la Comisión Evaluadora de Riesgos Institucionales.

D. Comité de Control Interno

1) Integrantes

a) Gerente(a) General de Administración y Finanzas.

b) Gerente(a) General de Asuntos Jurídicos.

c) Director(a) de Planificación Institucional.

d) Auditor(a) Interno(a).

e) Coordinador(a) Financiero(a) Institucional.

f) Un (a) Asesor(a) Jurídico(a).




13


a) Supervisar las tareas realizadas por las Unidades Organizativas en

cuanto a Control Interno.

b) Proponer mejoras al Sistema de Control Interno.

c) Establecer prioridades de Control Interno.

d) Plantear políticas y procedimientos por aplicar.

e) Revisar y actualizar las Normas Técnicas de Control Interno Específicas

del Órgano Judicial.

f) Informar a la Comisión Evaluadora de Riesgos Institucionales sobre el

resultado de las actividades realizadas.

E. Personal de las Unidades Organizativas

1) Integrantes:

a)Personal de la Corte Suprema de Justicia.

b)Personal de Juzgados, Tribunales y Cámaras.

2) Responsabilidad:

a)Participar en mesas de trabajo para identificar, analizar, evaluar y

minimizar los riesgos de los procesos de su respectiva Área de Trabajo o

Unidad Organizativa.




14

VII. NORMAS Y POLÍTICAS

A. Integración de Equipos de Trabajo

1) Cada Jefatura de Unidad Organizativa deberá organizar y constituir un

equipo de trabajo, que genere confianza y respeto por su capacidad y

trayectoria, asimismo que ostente un apropiado grado de conocimiento y

experiencia en los procesos que realizan en su área, que le permita apoyar

la tarea de identificación, análisis y gestión de riesgos.

2) Es esencial que cada integrante del equipo de trabajo conozca el Plan

Estratégico Institucional (PEI) y el Plan Anual Operativo (PAO) de su

respectiva Unidad Organizativa.

B. Identificación del Riesgo

1) Se deberán identificar todos los riesgos que enfrenta cada Unidad

Organizativa en la consecución de sus objetivos, sean estos de origen

interno como externo. Esta actividad deberá realizarse por lo menos una

vez al año.

2) La identificación de riesgos es un proceso iterativo y generalmente

integrado a la estrategia y planificación. En este proceso es conveniente

"partir de cero"; esto es, no basarse únicamente en el esquema de riesgos

identificados en estudios anteriores.




15

3) Su desarrollo debe incluir la especificación de los dominios o puntos claves

de la Unidad Organizativa, la identificación de los objetivos generales,

específicos, las debilidades y las amenazas, que identifican los riesgos que

se pueden afrontar. Un dominio o punto clave del organismo, puede ser:

un proceso que es crítico para su sobrevivencia; una o varias actividades

que sean responsables de la prestación de servicios a la ciudadanía; un

área que está sujeta a Leyes, Decretos o Reglamentos de estricto

cumplimiento, con amenazas de severas sanciones por incumplimiento;

etc.

4) Al determinar estas actividades o procesos claves, fuertemente ligados a

los objetivos de la Unidad Organizativa, debe tenerse en cuenta que

pueden existir algunos de éstos que no están formalmente expresados, lo

cual no debe ser impedimento para su consideración. El análisis se

relaciona con la criticidad (exposición al riesgo) del proceso o actividad y

con la importancia del objetivo, más allá que éste sea explícito o implícito.

5) Dentro de la identificación de riesgos existen muchas fuentes, tanto

internas como externas. A título puramente ilustrativo se pueden

mencionar, entre las externas: desarrollos tecnológicos que en caso de no

adoptarse, provocarían obsolescencia institucional; cambios en las

necesidades y expectativas del ciudadano /usuario; modificaciones en la

legislación y normas regulatorias que conduzcan a cambios forzosos en la

estrategia y procedimientos; etc.




16

Entre las internas, se puede citar: la estructura organizacional adoptada,

dado la existencia de riesgos inherentes típicos tanto en un modelo

centralizado como en uno descentralizado; la calidad del personal

incorporado, así como los métodos para su instrucción y motivación; la

propia naturaleza de las actividades de la institución; etc.

C. Estimación de Riesgos

1) Se debe estimar la frecuencia con que pueden presentarse cada uno de los

riesgos identificados, así como también se debe cuantificar de ser posible,

el probable impacto (incumplimiento, alto costo, atraso, pérdida, etc.) que

cada uno de ellos pueden ocasionar.

2) Una vez identificados los riegos al nivel de la Unidad Organizativa, debe

procederse a su análisis. Los métodos utilizados para determinar la

importancia relativa de los riesgos pueden ser diversos, e incluirán como

mínimo: una estimación de su frecuencia, o sea la probabilidad de

ocurrencia y una valoración de los efectos negativos (impacto) que podrían

causar.

D. Análisis de Riesgos (Nivel de Criticidad)

1) Aquellos riesgos cuya concreción esté estimada como de baja

frecuencia, no justifican preocupaciones mayores. Por el contrario, los

que se estima de alta frecuencia deben merecer preferente atención.

Entre estos extremos se encuentran casos que deben ser analizados

cuidadosamente, aplicando elevadas dosis de buen juicio y sentido

común.




17

2) Existen muchos riesgos dificultosos de cuantificar, que como máximo se

prestan a calificaciones de "grande", "moderado" o "pequeño". Pero no

debe cederse a la difundida inclinación de conceptuarlos rápidamente

como "no medibles". En muchos casos, con un esfuerzo razonable,

puede conseguirse una medición satisfactoria.

3) Para obtener la medición de la criticidad se utilizará la siguiente

ecuación:

ER = F x I

en donde:

ER = Exposición al Riesgo o Nivel de Criticidad.

F = Frecuencia o probabilidad que el riesgo se concrete en el año.

I = Impacto reflejado en pérdida estimada para cada caso en que el riesgo se concrete.

4) El cálculo matemático del Valor del Riesgo (VR), se obtiene por medio de la siguiente ecuación:

VR = ER X CCI

En donde:

VR: Valor del Riesgo

ER: Exposición al Riesgo

CCI: Confianza en el Control Interno




18

E. Actividades de Control

1) Toda Unidad Organizativa debe establecer un sistema de archivo para la

gestión y documentación de la información que utilizará y generará el

Sistema Específico de Valoración de Riesgos (SEVRI), que permita el

análisis histórico de los riesgos y de los factores asociados a los

mismos.

2) La documentación que como producto de la autovaloración del sistema

de control interno producen o comprueben los resultados encontrados

y cambios operados, debe ser completa, exacta y posibilitar su

seguimiento para la verificación por parte de jefaturas o entes

fiscalizadores.

3) El acceso a los registros y comprobantes debe estar protegido por

mecanismos de seguridad y limitado a las personas autorizadas,

quienes están obligadas a rendir cuenta de su custodia y utilización a la

jefatura respectiva.

F. Gestión de Riesgos

Cada Unidad Organizativa deberá definir las actividades de control y las

políticas necesarias para enfrentar, minimizar, eliminar o controlar, los

efectos que pueda producir el impacto de cada uno de los riesgos

identificados, analizados y valorados; para lo cual también han de

determinarse los procedimientos a seguir para cumplir con el propósito de

la gestión de riesgos.




19

VIII. PROCEDIMIENTO

A. Identificación de Objetivos

En este componente se deben conocer la misión, visión y los objetivos

institucionales, que forman parte del plan estratégico institucional.

Adicionalmente, cada unidad organizativa deberá identificar los objetivos

básicos de su Unidad de conformidad al Plan Anual Operativo (PAO).

B. Listado de Riesgos Identificados

Para la realización de esta actividad los Coordinadores de Análisis y

Evaluación de Riesgos de cada Unidad Organizativa, deberán formar mesas de

trabajo en las que reunirán con personal clave y procederán a llenar el

formulario de LISTADO DE RIESGOS IDENTIFICADOS (Anexo 1).

Para identificar los factores de riesgos o problemas, se debe considerar el

impacto de los mismos en la institución y la probabilidad o frecuencia de que

ocurran, principalmente los relacionados con:

Las operaciones de la entidad La información financiera Las personas que integran la organización Los aspectos tecnológicos Los factores ambientales La imagen institucional La discrecionalidad Los aspectos regulatorios




20

C. Matrices de Riesgos

Los Coordinadores de Análisis y Evaluación de Riesgos de las distintas

Unidades Organizativas, con su personal procederán a llenar las MATRICES DE

ANÁLISIS DE RIESGOS (Anexo 2) de cada uno de los objetivos específicos de

las diferentes Unidades organizativas y posteriormente de las Áreas de

Trabajo de la Institución (Dirección Superior, Asesorías, Jurídica-Legal,

Administrativa y Jurisdiccional).

La MATRIZ DE ANÁLISIS DE RIESGO permitirá identificar sus áreas críticas,

mediante la aplicación de variables como el impacto que pueda causar el

riesgo (entendiéndose por éste las debilidades y amenazas) en cuanto al logro

de los objetivos y la frecuencia de que ocurran dentro de la unidad

organizativa.

El producto de la frecuencia por el impacto, determina la exposición al riesgo,

lo cual implica que a mayor frecuencia e impacto es mayor la exposición al

riesgo, dando como resultado, factores de riesgos más importantes que

atender y gestionar.

D. Gestión de Riesgos

Una vez finalizado el diagnóstico y tener la MATRIZ DE ANÁLISIS DE RIESGO

completa, se deberá completar la MATRIZ DE GESTION DE RIESGOS, (Anexo

3), ordenándolos de acuerdo al ranking del valor del riesgo establecido, con lo

que se identificarán los factores de riesgo más importantes que deben ser

administrados a través del establecimiento de actividades de control, políticas

y procedimientos respectivos.

Sin embargo, dependiendo de la confianza que se haya determinado en el

control Interno en la evaluación realizada, puede cambiar la valoración de los

riesgos.




21

E. Reunión de los Comités de Coordinación con la Comisión Evaluadora

de Riesgos Institucionales

Los Comités deberán reunirse con la Comisión Evaluadora de Riesgos

Institucionales para revisar, procesar y consolidar la información, que será

presentada a la Comisión de Gestión Integral de Riesgos.

F. Análisis de las Matrices de Riesgos

La Comisión Evaluadora de Riesgos Institucionales deberá realizar la

evaluación de riesgos, analizando los riesgos y sus posibles soluciones,

tomando en cuenta los factores internos y externos, consolidando la

información en un Perfil o Mapa de Riesgos Institucionales.

G. Proposición de Políticas y Procedimientos.

El Comité de Control Interno deberá plantear las políticas y procedimientos a

seguir, con el propósito de minimizar los riesgos y agregarlos al Perfil o Mapa

de Riesgos Institucionales; basándose en la documentación preparada por los

Comités de Coordinación y la Comisión Evaluadora de Riesgos Institucionales.

H. Presentación de Informe.

La Comisión de Gestión Integral de Riesgos presentará un informe a la

Presidencia del Órgano Judicial y de la Corte Suprema de Justicia, en el que

deberá plantear mejoras a los Sistemas de Control Interno, con el Manual de

Políticas y Procedimientos de Control de Riesgos elaborado.

I. Aprobación y Vigencia de Políticas y Procedimientos.

La Presidencia del Órgano Judicial y de la Corte Suprema de Justicia o su

delegado, deberá autorizar el Perfil o Mapa de Riesgos Institucionales

presentado por la Comisión de Gestión Integral de Riesgos, así como el

Manual de Políticas y Procedimientos de Control de Riesgos.




22

J. Actualización

La Comisión de Gestión Integral de Riesgos de la Corte Suprema de Justicia

deberá establecer la calendarización anual para la actualización del Perfil o

Mapa de Riesgos Institucionales, así como del Manual de Políticas y

Procedimientos de Control de Riesgos.

Para mayor comprensión se desarrolla un ejemplo de aplicación del presente

instructivo en el Anexo No.4.

IX. VIGENCIA

El Instructivo para la Identificación, Análisis y Gestión de Riesgos, entrará en

vigencia a partir de su aprobación y se sujetará a los cambios y ajustes de acuerdo a

las necesidades que se presenten, respetándose los mecanismos dispuestos para su

actualización.

“Identificación, Análisis y Gestión de Riesgos ” Dirección de Planificación Institucional

23


LISTADO DE RIESGOS IDENTIFICADOS

UNIDAD ORGANIZATIVA: ______________________________________________ ANEXO 1

OBJETIVO: ________________________________________________________________________________

N° LISTADO DE RIESGOS IDENTIFICADOS

FECHA: ___________________________ RESPONSABLE:_____________________________________ (Nombre y Firma)


24

ORGANO JUDICIAL

CORTE SUPREMA DE JUSTICIA MATRIZ DE ANÁLISIS DE RIESGOS

UNIDAD ORGANIZATIVA :___________________________________________________________ ANEXO 2 DESCRIPCION DEL OBJETIVO:_________________________________________________________________

N° RIESGOS F I Exposición al Riesgo (FxI=ER)

Confianza en el

Control Interno (CCI)

Valor del Riesgo

(ERxCCI)

FECHA: ____________________________________________ RESPONSABLE: _______________________________________

(Nombre y Firma)


25


MATRIZ DE GESTIÓN DE RIESGOS

UNIDAD ORGANIZATIVA: _______________________________________________________________ ANEXO 3

RANKING DEL

RIESGO

LISTADO DE RIESGO Valor del Riesgo

(ERxCCI)

Gestión de Riesgos

Actividades de Control Políticas

FECHA:____________________________________RESPONSABLE: _____________________________________

(Nombre y Firma)



“Identificación y Valoración de Riesgos Institucionales”

26

INSTRUCTIVO PARA LLENAR FORMULARIOS

LISTADO DE RIESGOS IDENTIFICADOS (Anexo 1)

(1)Riesgo : Enlistar los Riesgos Identificados, describiendo los eventos que afectan

el logro de cada uno de los objetivos básicos de la Unidad, fijados de

conformidad a sus funciones en el Plan Anual Operativo(PAO).

MATRIZ DE ANÁLISIS DE RIESGOS (Anexo 2)

(1)Riesgo : Enlistar los Riesgos Identificados, describiendo los eventos que afectan

el logro de los objetivos básicos de la Unidad, fijados de conformidad a sus

funciones en el Plan Anual Operativo(PAO).

(2)Análisis de Riesgos : Luego de identificados los riesgos se procederá a su

análisis, seleccionando aquellos que tengan un alto nivel de criticidad debiendo

estimar el producto de la probabilidad que se presenten los riesgos identificados,

así como también cuantificar el impacto que ellos pueden ocasionar. Este

resultado se obtiene de la siguiente formula: ER.= F X I

en donde:

ER = Exposición al Riesgo o Nivel de Criticidad.

F = Frecuencia o probabilidad que el riesgo se concrete en el año.

I = Impacto reflejado en pérdida estimada para cada caso en que el riesgo se concrete.

El producto de la frecuencia por el impacto, nos determina la exposición al riesgo,

lo cual implica que a mayor frecuencia e impacto es mayor la exposición al riesgo,

dando como resultado, factores de riesgos más importantes

Se aplicará una escala del 1 al 3, donde:

I= Impacto que podría causar:

1= bajo impacto; 2= mediano impacto y 3= alto impacto.




27

F= Frecuencia o Probabilidad que los riesgos se concreten en el año

1= Poco probable que ocurra; 2= medianamente probable que ocurra y

3= altamente probable que ocurra.

De acuerdo al resultado obtenido, se deberá ubicar el valor resultante en el

cuadrante correspondiente, tomando como guía la siguiente matriz.

MATRIZ A

POSIBILIDAD

DE

OCURRENCIA

ALTO (3) 3 6 9

MEDIO (2) 2 4 6

BAJO (1) 1 2 3

BAJO (1) MEDIO (2) ALTO (3)

IMPACTO AL OCURRIR

Una vez ubicados los valores en la Matriz A, se procederá a identificar la

exposición al riesgo o nivel de criticidad correspondiente, de acuerdo a los

criterios de selección contenidos en la tabla que se presenta a continuación.

CRITERIOS DE SELECCIÓN

INDICE EXPOSICIÓN AL RIESGO

O NIVEL DE CRITICIDAD

De 1 a 2 inclusive No significativa

De 3 a 4 inclusive Significativa

De 6 a 9 inclusive Muy significativa




28

MATRIZ B

CRITICIDAD

ALTO (9) 9 18 27

MEDIO (6) 6 12 18

BAJO (3) 3 6 9

BAJO (1) MEDIO (2) ALTO (3)

SITUACION ACTUAL (SAC)

CONTROL INTERNO

Una vez ubicados los valores en la Matriz B, se procederá a identificar la

exposición al riesgo o nivel de criticidad correspondiente, de acuerdo a los

criterios de selección contenidos en la tabla que se presenta a continuación.


INDICE SITUACION ACTUAL DEL CONTROL INTERNO

1 Cubre en gran parte el riesgo

2 Cubre medianamente el riesgo

3 No existe ningún tipo de medida para cubrir el riesgo.

Posteriormente se procederá a determinar la Confianza en el Control Interno,

de acuerdo a los criterios de selección contenidos en la tabla que se presenta

a continuación.




29


INDICE CONFIANZA EN EL CONTROL INTERNO

(CCI)

1 Alta

2 Moderada

3 Baja

El cálculo matemático del Valor del Riesgo se realiza por medio de la ecuación

siguiente: VR = ER X CCI

Donde:

VR : Valor del Riesgo

ER : Exposición al Riesgo o Nivel de Criticidad

CCI: Confianza en el Control Interno

MATRIZ DE GESTIÓN DE RIESGOS (Anexo 3)

Una vez identificado el Valor de los Riesgos se ordenarán de acuerdo al ranking

del valor del riesgo establecido, con lo que se identificarán los factores de

riesgo más importantes. Finalmente se procederá a definir las actividades de

control y las políticas necesarias para eliminar o minimizar los efectos que

puedan producir el impacto de cada uno de los riesgos identificados.




30

ANEXO 4

Valoración de Riesgos

En este componente se deben establecer la misión, visión y los objetivos institucionales, que formarán parte del plan estratégico institucional. Adicionalmente, debe normarse que cada unidad organizativa de la entidad, elabore un plan anual operativo estableciendo los objetivos y metas específicas en concordancia con la planeación estratégica institucional.

IDENTIFICACIÓN, ANÁLISIS Y GESTIÓN DE RIESGOS




31

Cont. Valoración de Riesgos

Tomando en cuenta la misión, visión, objetivos institucionales, la naturaleza y magnitud de la entidad, se deben identificar los factores de riesgos o problemas, considerando el impacto de los mismos en la institución y la probabilidad o frecuencia de que ocurran, principalmente los relacionados con:

Las operaciones de la entidad La información financiera Las personas que integran la organización Los aspectos tecnológicos Los factores ambientales La imagen institucional La discrecionalidad Los aspectos regulatorios

EJEMPLO DE LA VALORACION DE RIESGOS

La CSJ, para el logro de sus fines ha establecido una serie de objetivos básicos, los cuales han sido asignados a cada una de las unidades de conformidad a sus funciones. Dentro de estos objetivos, a la Unidad Financiera Institucional (UFI) se le ha asignado entre otros, el siguiente: Mantener una transparencia en el manejo de las Disponibilidades.




32

Cont. EJEMPLO

Para el logro del objetivo anterior, se han identificado los siguientes riesgos: LISTADO DE RIESGOS IDENTIFICADOS

UNIDAD ORGANIZATIVA: ____________________________________

OBJETIVO: ________________________________________________

N° RIESGO

1 Pérdida del disponible.

2 Manejo inadecuado del efectivo.

3 Registros des actualizados de las disponibilidades.

4 Falta de conciliación de saldos.

5 Inexistencia de firmas mancomunadas.

6 Los refrendarios y encargados de fondos, no rinden fianza.

7 Inexistencia de desagregación de Funciones

Cont. EJEMPLO…

Matriz de Análisis de Riesgo

Se ha elaborado una matriz de riesgo a efecto de identificar sus áreas críticas, mediante la aplicación de variables como el impacto que pueda causar el riesgo (entendiéndose por éste las debilidades y amenazas) en cuanto a logro de los objetivos y la frecuencia de que ocurran dentro de la unidad organizativa. Al respecto, la UFI, a través de su diagnóstico determinó la matriz siguiente:




33

Cont. EJEMPLO…

MATRIZ DE ANALISIS DE RIESGOS

UNIDAD ORGANIZATIVA: _Unidad Financiera Institucional_

VO SELECCIONADO: Mantener una transparencia en el manejo de las Disponibilidades.

No. Riesgo F Frecuencia

I Impacto

Exposición al Riesgo

(F x I = ER) 1 Pérdida del disponible 3 3 9 2 Manejo inadecuado del efectivo 3 2 6

3 Registros de las disponibilidades desactualizados

3 2 6

4 Falta de conciliación de saldos 3 3 9 5 Inexistencia de firmas mancomunadas 2 3 6

6 Refrendarios y encargados de fondos no rinden fianza

1 2 2


2 3 6

Frecuencia Impacto 1. Baja 2. Moderada 3. Alta

1. Bajo 2. Moderado 3. Alto

Cont. EJEMPLO…

Matriz de Análisis de Riesgos

El cálculo matemático de la Exposición al Riesgo se realiza por medio de la ecuación siguiente: ER= F x I Donde:

ER = Exposición al riesgo. F = Frecuencia de que el riesgo se concrete en el

año. I = Impacto reflejado en pérdida estimada, para

cada caso en que el riesgo se concrete.




34

Cont. EJEMPLO…

Matriz de Análisis de Riesgo

El cálculo matemático del Valor del Riesgo se realiza por medio de la ecuación siguiente: VR= ER x CCI Donde: VR = Valor del Riesgo. ER = Exposición al Riesgo. CCI = Confianza en el Control Interno.

Cont. EJEMPLO… MATRIZ DE ANALISIS DE RIESGOS

UNIDAD ORGANIZATIVA: _Unidad Financiera Institucional_ DESCRIPCION OBJETIVO SELECCIONADO: Mantener una transparencia en el manejo de

las Disponibilidades.

No.

Riesgo

F

Frec.

I

Imp.

Exposiciónal Riesgo

(F x I = ER)

Confianza Control Interno (CCI)

Valor Del Riesgo

(ERxCCI)

1 Pérdida del disponible 3 3 9 3 27

2 Manejo inadecuado del efectivo 3 2 6 3 18

3 Registros de las disponibilidades Des actualizados

3 2 6 2 12

4 Falta de conciliación de saldos 3 3 9 2 18

5 Inexistencia de firmas mancomunadas

2 3 6 1 6

6 Refrendarios y encargados de fondos no rinden fianza

1 2 2 1 2


2 3 6 1 6

Frecuencia Impacto Confianza en el C I

1. Baja 2. Moderada 3. Alta

1. Bajo 2. Moderado 3. Alto

1. Alta 2. Moderada 3. Baja




35

MATRIZ DE GESTIÓN DE RIESGOS

RANKING DEL RIESGO

LISTADO DE RIESGOS

VALOR DEL RIESGO

(ER X CCI)

Gestión de Riesgos

Actividades de Control Políticas

1° Pérdida del disponible.

27 2° Manejo inadecuado

del efectivo. 18

3° Falta de conciliación de saldos.

18 4° Registros des

actualizados de las disponibilidades.

12 5° Inexistencia de firmas

mancomunadas. 6

6° Inexistencia de desagregación de Funciones

6 7° Los refrendarios y

encargados de fondos, no rinden fianza.

2

Cont. EJEMPLO…

Interpretación de los datos anteriores El producto de la frecuencia por el impacto, nos determina la exposición al riesgo, lo cual implica que a mayor frecuencia e impacto es mayor la exposición al riesgo, dando como resultado, factores de riesgos más importantes que deben ser administrados o manejados a través del establecimiento de actividades de control que los elimine o minimice. Sin embargo, dependiendo de la confianza que se haya determinado en el control Interno en la evaluación realizada, puede cambiar la valoración de los riesgos. (Art. 73) Si existen controles que minimicen la ocurrencia de los riesgos, la confianza en el control interno alta; de lo contrario, es baja.




36

GESTIÓN DE LOS RIESGOS

Actividades de Control para minimizar la ocurrencia del riesgo. Riesgo potencial: Manejo inadecuado del efectivo. Actividades de Control: Arqueos sorpresivos de fondos, Conciliaciones bancarias, Firmas mancomunadas, Rendición de fianzas, Segregación de funciones. Estas actividades deben quedar establecidas en los manuales de procedimientos de controles de aplicación. Art. 62 NTCIEOJ




37

• POLITICAS: Realizar arqueos sorpresivos mensualmente de los fondos • PROCEDIMIENTOS:

Solicitar al encargado del manejo del fondo, el efectivo, las facturas y los recibos relacionados con el fondo. Utilizar el formulario No. UFI-123 Contar el efectivo Verificar recibos y facturas, Sumar ambos valores. Comparar con el monto asignado al fondo, Establecer diferencias (sobrante o faltante). Si es sobrante, debe remesarse al Fondo General de la Nación. Si es faltante, el encargado del fondo deberá reponerlo. Firmar el formulario No. UFI-123 (encargado del fondo y responsable del arqueo) Elaborar un informe sobre el resultado del arqueo.




38

GLOSARIO

Actividades de Control: Son las políticas y procedimientos que permiten

obtener una seguridad razonable del cumplimiento de las directrices

administrativas. Tales actividades ayudan a asegurar que se están tomando las

acciones necesarias para enfrentar los factores de riesgo implicados en el logro

de los objetivos de la institución.

Administración de Riesgos: Consiste en la aplicación sistemática de

políticas, procedimientos y prácticas de gestión a la tarea de identificar,

analizar, evaluar, tratar y controlar los riesgos. Se trata igualmente de

identificar y tomar oportunidades destinadas a mejorar el rendimiento, así

como tomar ciertas acciones destinadas a eludir o reducir las posibilidades de

que ocurra algo malo.

Ambiente de Control: Establece el fundamento de la institución, para influir

la práctica del control en sus servidores. Es la base de los otros componentes

del control interno, proporcionando los elementos necesarios para permitir el

desarrollo de una actitud positiva para el control interno y para una gestión

escrupulosa.

Componentes Orgánicos del sistema de control interno: Ambiente de

Control; Valoración de Riesgos; Actividades de Control; Información y

Comunicación; y Monitoreo.

Control de Riesgos: Son las acciones definidas al interior de la Institución

tendientes a minimizar los riesgos.

Evento: Incidente u ocurrencia de fuente interna o externa que afecta el logro

de objetivos. Los eventos pueden tener un impacto negativo o positivo, o

ambos.




39

Información y Comunicación: Deben establecerse los Procesos que

permitan a la institución identificar, registrar y comunicar información,

relacionada con actividades y eventos internos y externos relevantes para la

organización.

Monitoreo: Son actividades que se realizan para valorar la calidad del

funcionamiento del sistema de control interno en el tiempo y asegurar

razonablemente que los resultados de las auditorías y de otras revisiones, se

atiendan con prontitud.

Objetivo: Enunciado de un resultado unívoco, claro, preciso, factible y

medible que se obtiene una vez que se ha terminado un procedimiento.

Políticas: Ser guías para orientar las acciones. Representan planteamientos

generales que guían y canalizan el pensamiento y la acción en la toma de

decisiones, delimitando el área de acción y asegurando que dichas decisiones

se dirijan al logro de los objetivos.

Prevención: Es una medida que se toma para evitar la materialización del

riesgo, o para minimizar los efectos de su ocurrencia.

Procesamiento: Es la sucesión cronológica y concatenada de actividades para

la consecución de un objetivo establecido en una Unidad Organizativa.

Riesgos: Son todos aquellos factores internos o externos que pueden impedir

la consecución de los objetivos y metas institucionales, definidos tanto en los

planes anuales operativos como en los planes de mediano y largo plazo. En

general, riesgo es la probabilidad de ocurrencia de un hecho no deseado o

eventualidad, que pueda afectar las actividades, operaciones, procesos y por

ende el resultado esperado.




40

Riesgos Relevantes: Evento de índole interno o externo que puede afectar

de manera significativa el cumplimiento de los objetivos estratégicos que

orientan las líneas estratégicas, los componentes y acciones relevantes de la

Institución; plasmados en el Plan Estratégico Institucional.

Sistema de Control Interno: Es el conjunto de procesos continuos e

interrelacionados realizados por la máxima autoridad, funcionarios y

empleados, diseñados para proporcionar una seguridad razonable en la

consecución de los objetivos. El sistema de control interno comprende planes,

métodos, procedimientos y actividades establecidas en la Institución, para

alcanzar los objetivos institucionales.

Sistema Específico de Valoración del Riesgo Institucional (SEVRI):

Conjunto organizado de elementos que interaccionan para la identificación,

análisis, evaluación, administración, revisión, documentación y comunicación

de los riesgos institucionales.

Valoración de Riesgos: Es la identificación, análisis y valoración de los

riesgos relevantes para el logro de los objetivos, formando una base para la

determinación de cómo deben administrarse los riesgos.

Valoración del estado del sistema de control interno: Es la actividad que

busca el mejoramiento continuo de los controles que la institución, en el nivel

que corresponda, diseña y aplica para todos sus procesos y operaciones, que

le propician el cumplimiento de los objetivos.

Valores: Principios por los que se establecen prioridades y jerarquías de

importancia entre necesidades, demandas y fines.

Visión: Expresión filosófica que plantea la inspiración y motivo del desarrollo

de la institución; de cómo desea ser vista en el futuro por sus empleados y

usuarios.

Instructivo para la Identificación, Análisis y Gestión de Riesgos

Documents

Transcript of Instructivo para la Identificación, Análisis y Gestión de Riesgos